Embed Size (px)
Citation preview
I
目 录
1 范围 ................................................................. 1
2 参考文献 ............................................................. 1
3 术语、定义、缩略语和约定 ............................................. 2
3.1 术语和定义 ......................................................... 2
3.2 缩略语 ............................................................. 4
3.3 约定 ............................................................... 6
4 安全架构概述 ......................................................... 6
4.1 EPS 系统的安全架构 .................................................. 6
5 EPS 系统的安全特征 .................................................... 7
5.1 用户与网络 ......................................................... 7
5.2 安全的可视和可配置 ................................................. 9
5.3 eNB 的安全要求 ...................................................... 9
6 UE 与 EPC 核心网络间安全流程 .......................................... 11
6.1 认证和密钥协商协议 ................................................ 11
6.2 EPS 密钥体系 ....................................................... 15
6.3 EPS 密钥标识符 ..................................................... 18
6.4 EPS 安全上下文的处理 ............................................... 19
6.5 NAS COUNT 处理机制 ................................................. 20
7 UE 与 EPS 接入网络间安全流程 .......................................... 20
7.1 用户身份保密机制 .................................................. 20
7.2 在 E-UTRAN 中处理用户有关的密钥 .................................... 20
7.3 用户面数据安全机制 ................................................ 35
7.4 RRC 安全机制 ....................................................... 36
7.5 周期性本地认证的信令流程 .......................................... 37
8 NAS 信令的安全机制 ................................................... 38
8.1 NAS 完整性机制 ..................................................... 38
8.2 NAS 保密性机制 ..................................................... 39
9 E-UTRAN 与 UTRAN 间互操作安全 ......................................... 39
9.1 RAU 和 TAU 过程 ..................................................... 39
9.2 切换 .............................................................. 42
9.3 到 E-UTRAN 的 IRAT 移动性时 AKA 相关推荐 ............................. 47
9.4 附着步骤 .......................................................... 48
10 E-UTRAN 与 GERAN 间的安全互通 ........................................ 48
10.1 概述 ............................................................. 48
10.2 RAU 和 TAU 步骤 .................................................... 49
电话:82054513 http://www.ptsn.net.cn
II
10.3 切换 ............................................................. 49
10.4 对 IRAT 移动到 E-UTRAN 时的 AKA 的建议 .............................. 49
10.5 附着在 GERAN ...................................................... 49
11 网络域控制面保护 ................................................... 50
12 用户面回路保护 ..................................................... 50
13 接口上的管理平面保护 ............................................... 50
14 E-UTRAN 和 UTRAN/GERAN 电路域之间的 SRVCC ........................... 51
14.1 从 E-UTRAN 到 UTRAN/GERAN 的电路域 ................................ 51
14.2 SRVCC 中的紧急呼叫 ................................................ 52
15 紧急呼叫过程中的安全问题 ........................................... 52
15.1 概述 ............................................................. 52
15.2 安全过程及其适用性 ............................................... 53
附 录 A 密钥推导函数 ................................................... 56
A.1 KDF 接口和输入参数构造 ............................................. 56
A.1.1 概述 ............................................................ 56
A.1.2 FC 值分发 ....................................................... 56
A.2 KASME 推导函数 ...................................................... 56
A.3 KeNB 推导函数 ....................................................... 56
A.4 NH 推导函数 ....................................................... 57
A.5 KeNB* 推导函数 ...................................................... 57
A.6 算法密钥推导函数 .................................................. 57
A.7 切换时的 KASME 到 CK', IK'的转换 ..................................... 58
A.8 RAT 间移动时的 NAS 令牌推导 ......................................... 58
A.9 切换时由 CK、IK 导出 K’ASME .......................................... 58
A.10 在空闲模式下移动时,由 CK 和 IK 导出 K’ASME .......................... 59
A.11 由 KASME导出 CKSRVCC, IKSRVCC ............................................ 59
A.12 在空闲模式下由 KASME 导出 CK', IK' .................................. 59
附 录 B : 加密及完整性保护算法 ........................................ 60
B.1 空计算及完整性保护算法 ............................................ 60
B.2 128 位加密算法 ..................................................... 60
B.2.1 输入和输出 ...................................................... 60
B.2.2 128-EEA1 ........................................................ 61
B.2.3 128-EEA2 ........................................................ 61
B.3 128 位完整性算法 ................................................... 61
B.3.1 输入与输出 ...................................................... 61
B.3.2 128-EIA1 ........................................................ 62
B.3.3 128-EIA2 ........................................................ 62
电话:82054513 http://www.ptsn.net.cn
1
3GPP 系统结构演进(SAE)的安全架构
1 范围
本研究报告定义了演进的分组系统(EPS)和演进的分组核心网(EPC)的安全架构,例
如,安全特征和安全机制, 以及在EPS(包括EPC和E-UTRAN)内的安全进程。
2 参考文献
[1] 3GPP TR 21.905:3GPP 规范的词汇表;
[2] 3GPP TS 23.401:E-UTRAN 接入的通用分组无线业务(GPRS)增强;
[3] 3GPP TS 23.003:编号、编址和标识;
[4] 3GPP TS 33.102:3G 安全之安全架构;
[5] 3GPP TS 33.210:3G 安全之网络域安全(NDS)之 IP 网络层安全;
[6] 3GPP TS 33.310:网络域安全(NDS)之认证框架(AF);
[7] IETF RFC 4303:IP 封装安全协议(ESP);
[8] 3GPP TS 33.220:通用认证架构(GAA)之通用自举架构;
[9] 3GPP TS 24.301:EPS 的 NAS 协议之第三阶段;
[10] 3GPP TS 36.323:演进的通用陆地无线接入(E-UTRA)之 PDCP 规范;
[11] 3GPP TS 31.102:USIM 应用的特性;
[12] 3GPP TS 35.215:保密性和完整性算法 UEA2 和 UIA2 之文档 1:UEA2 和 UIA2 规范;
[13]NIST: AES(FIPS PUB 197);
[14]NIST 特别出版物 800-38A (2001):对块加密模式操作的建议;
[15]NIST 特别出版物 800-38B (2001):对块加密模式操作的建议:用于认证的 CMAC 模
式;
[16]3GPP TS 36.331:演进的通用陆地无线接入(E-UTRA)的 RRC 协议规范;
[17]3GPP TS 23.216:SRVCC 之第二阶段;
[18]3GPP TS 22.101:服务原则;
[19]3GPP TS 25.331:RRC 协议规范;
[20]3GPP TS 44.060:GPRS 移动台(MS)和基站系统(BSS)间的接口;无线链路控制/介
简介:本报告介绍了 EPS 系统的安全架构、EPS 系统的安全特征、用户与网络间的安全、UE
与 EPC 核心网络间安全流程、UE 与 EPS 接入网络间安全流程、NAS 信令的安全机制、E-UTRAN 与
UTRAN 间互操作安全、E-UTRAN 与 GERAN 间的安全互通、从 E-UTRAN 到 UTRAN/GERAN 电路域的
SRVCC、紧急呼叫过程中的安全问题、密钥推导函数和加密及完整性保护算法。 本研究报告由中国通信标准化协会无线通信技术工作委员会 3G 网络安全与加密工作组提
出,无线通信技术工作委员会通过。
电话:82054513 http://www.ptsn.net.cn
2
质访问(RLC/MAC)协议;
[21] 3GPP TS 23.122: 与空闲模式下的 MS 相关的 NAS 功能;
[22] 3GPP TS 33.320:家庭 NodeB 和演进家庭 NodeB 的安全机制。
3 术语、定义、缩略语和约定
3.1 术语和定义
3.1.1 接入安全管理实体 Access Security Management Entity
接入网中从HSS接收顶级(top-level)密钥的实体。E-UTRAN接入网的ASME是MME。
3.1.2 激活安全上下文 Activation of security context
导致使用安全上下文的过程。
3.1.3 认证数据 Authentication data
安全上下文或认证向量的一部分。
3.1.4 KeNB 链 Chaining of KeNB
(在小区切换时)从另一个 KeNB派生出一个新的 KeNB。
3.1.5 当前的 EPS 安全上下文 Current EPS security context
近被激活的安全上下文。当前的EPS安全上下文来源于映射的EPS安全上下文或本地
的EPS安全上下文,可以与一个本地的非当前的EPS安全上下文并存。
3.1.6 ECM-CONNECTED 状态 ECM-CONNECTED state
定义在 TS 23.401 [2]中对应于TS 24.301 [9]中的 EMM-CONNECTED 模式。
3.1.7 ECM-IDLE 状态 ECM-IDLE state
定义在 TS 23.401 [2]中对应于TS 24.301 [9]中的 EMM-IDLE模式。
3.1.8 EPS 认证向量 EPS-Authentication Vector
包括KASME, RAND, AUTN, XRES。
3.1.9 EPS 安全上下文 EPS security context
在UE和服务网域建立的一种状态,存储EPS安全上下文,包括EPS NAS安全上下文和EPS
AS安全上下文。 注:EPS安全上下文的类型有“映射的”、“完整的本地的”或“部分本地的”。状态可以是“当前
的”或“非当前的”。在某一时刻,一个上下文只能是一种类型和一种状态。某个上下文的类型状态
可能随时间而改变。部分本地上下文可以转换成完整的本地上下文。不允许其它类型转换。
3.1.10 EPS AS 安全上下文 EPS AS security context
包括AS层的各类密钥及标识符、下一跳参数NH和下一跳链计数器NCC(用于产生下一
跳接入密钥)、选定的AS层密码算法标识符和用于重放保护的计数器。注意EPS AS 安全上
电话:82054513 http://www.ptsn.net.cn
3
下文仅在加密保护的无线承载建立后才存在,其它状态下为空。 注:在ECM-CONNECTED 状态时NH 和 NCC 也应存储在MME 中。
3.1.11 EPS NAS 安全上下文 EPS NAS security context
包括 KASME 及相关联的密钥集标识符、UE安全能力、上行和下行链路 NAS COUNT 值。
特别地, 对于每个EPS NAS 安全上下文使用不同的 NAS COUNT 对。 与EPS安全上下文类
似,EPS NAS 安全上下文也分为本地的和映射的。如果还包含KNASint 和KNASenc及选定
的NAS完整性算法和加密算法,EPS NAS安全上下文被称作“完整的”。
3.1.12 完整的本地的 EPS 安全上下文 Full native EPS security context
所包含的EPS NAS安全上下文是“完整的”。完整的本地的EPS 安全上下文的状态是
“当前的”或“非当前的”。
3.1.13 前向安全 Forward security
在KeNB派生过程中,前向安全指的是这样一种特性,即eNB和UE共享KeNB,应不可能预先
计算出任何后续的用于该UE和其它eNB之间的KeNB。特别地,n跳前向安全指的是这样一种
特性,即一个 eNB无法计算出用于UE和另一个eNB之间的密钥,这个eNB是UE经n(n=1或2)
次或更多次切换后连接上的。
3.1.14 继承的安全上下文 Legacy security context
根据TS 33.102 [4]建立的安全上下文。
3.1.15 映射的安全上下文 Mapped security context
在系统间移动时,由源系统当前的安全上下文转化而来的目标系统的安全上下文,例
如从EPS密钥转换来的UMTS密钥。映射的安全上下文中的EPS NAS安全上下文是完整的,且
是当前的。
3.1.16 本地的 EPS 安全上下文 Native EPS security context
该EPS安全上下文中的KASME是通过运行EPS AKA得到的。
3.1.17 非当前的 EPS 安全上下文 Non-current EPS security context
非当前的本地的EPS安全上下文,可以与当前的本地的EPS安全上下文并存在UE和MME
中。非当前的EPS安全上下文不包含EPS AS安全上下文。非当前的EPS安全上下文的类型是
“完整的本地的”或“部分本地的”。
3.1.18 部分本地的 EPS 安全上下文 Partial native EPS security context
部分本地的EPS 安全上下文包括KASME及相关联的密钥集标识符、UE安全能力、上行和
下行链路 NAS COUNT值。 特别地, 对于每个EPS NAS 安全上下文使用不同的NAS COUNT
对。在首次NAS安全模式命令(SMC)之前,该安全上下文的NAS COUNT初始化为0。如果没
有相应成功的 NAS 安全模式命令执行,部分本地的EPS 安全上下文通过 EPS AKA过程产
生。部分本地的EPS 安全上下文总是“非当前的”。
电话:82054513 http://www.ptsn.net.cn
4
3.1.19 重新派生 NAS 密钥 Re-derivation of NAS keys
从同一个KASME派生出新的NAS密钥,但是包括不同的算法(没有更新参数)。
3.1.20 KeNB更新 Refresh of KeNB
从同一个KASME 派生出一个新的KeNB,及新参数。
3.1.21 KeNB刷新 Re-keying of KeNB
在ECM-CONNECTED状态下从一个新的KASME派生出一个新的KeNB (即激活一个部分本地的
EPS安全上下文,或重新激活一个非当前的完整的EPS安全上下文)。
3.1.22 NAS 密钥刷新 Re-keying of NAS keys
从一个新的 KASME派生出新的 NAS 密钥 。
3.1.23 UE 安全能力 UE security capabilities
在UE上实现的加密和完整性算法对应的标识符集合,包括与EPS AS 和 NAS有关的能
力。如果UE 支持UTRAN和GERAN,还包括与UTRAN和GERAN 有关的能力。
3.1.24 UE EPS 安全能力 UE EPS security capabilities
UE的EPS AS和NAS安全能力。
3.2 缩略语
AES Advanced Encryption Standard 高级加密标准
AK Anonymity Key 匿名密钥
AKA Authentication and Key Agreement 认证和密钥协商协议
AMF Authentication Management Field 认证管理字段
AN Access Network 接入网络
AS Access Stratum 接入层
AUTN Authentication token 认证令牌
AV Authentication Vector 认证向量
ASME Access Security Management Entity 接入安全管理实体
Cell-ID CellIdentity as used in TS 36.331 [16] 小区标识
CK Cipher Key 加密密钥
CKSN Cipher Key Sequence Number 加密密钥序列号
C-RNTI Cell RNTI as used in TS 36.331 [16] 小区RNTI
DoS Denial of Service 拒绝服务攻击
EARFCN-DL E-UTRA Absolute Radio Frequency
Channel Number-Down Link
E-UTRA下行载频号
ECM EPS Connection Management EPS连接管理
EEA EPS Encryption Algorithm EPS加密算法
EPS EIA Integrity Algorithm EPS完整性保护算法
eKSI Key Set Identifier in E-UTRAN E-UTRAN密钥集标识符
电话:82054513 http://www.ptsn.net.cn
5
EMM EPS Mobility Management EPS移动性管理
eNB Evolved Node-B 演进的Node-B
EPC Evolved Packet Core 演进的分组核心(网)
EPS Evolved Packet System 演进的分组系统
EPS-AV EPS authentication vector EPS认证向量
E-UTRAN Evolved UTRAN 演进的UTRAN
GERAN GSM EDGE Radio Access Network GSM EDGE无线接入网
GUTI Globally Unique Temporary Identity 全球唯一临时身份标识
HE Home Environment 归属域
HFN Hyper Frame Number 超帧号
HO Hand Over 切换
HSS Home Subscriber Server 归属用户服务器
IK Integrity Key 完整性保护密钥
IKE Internet Key Exchange 因特网密钥交换协议
IMEI International Mobile Equiptment
Identity
国际移动设备标识
IMEISV International Mobile Station
Equipment Identity and Software
Version number
国际移动设备标识软件版
本号
IMSI International Mobile Subscriber
Identity
国际移动用户标识
IRAT Inter-Radio Access Technology 跨无线接入技术
ISR Idle Mode Signaling Reduction 空闲模式信令缩减
KDF Key Derivation Function 密钥衍生算法
KSI Key Set Identifier 密钥集标识符
LSB Least Significant Bit 低位
LSM Limited Service Mode 受限服务模式
MAC-I Message Authentication Code for
Integrity (terminology of TS36.323
[10])
用于完整性保护的消息认
证码
MACT Message Authentication Code T used in
AES CMAC calculation
用于AES CMAC计算的消息
认证码
ME Mobile Equipment 移动设备
MME Mobility Management Entity 移动管理实体
MS Mobile Station 移动台
MSC Mobile Switching Center 移动交换中心
MSIN Mobile Station Identification Number 移动台标识号
NAS Non Access Stratum 非接入层
NAS-MAC Message Authentication Code for NAS
for Integrity
用于NAS完整性保护的消息
认证码(在 TS24.301 [9]
中称为MAC)
NCC Next hop Chaining Counter 下一跳链计数器
NH Next Hop 下一跳切换密钥
电话:82054513 http://www.ptsn.net.cn
6
PCI PhysicalCellIdentity as used in TS
36.331 [16]
物理小区标识
PLMN Public Land Mobile Network 公众陆地移动通信网
PRNG Pseudo Random Number Generator 伪随机数生成器
P-TMSI Packet- Temporary Mobile Subscriber
Identity
分组临时移动用户识别码
PDCP Packet Data Convergence Protocol 分组数据汇聚协议
RAND RANDom number 随机数
RAU Routing Area Update 路由区域更新
RRC Radio Resource Control 无线资源控制
SAE System architecture evoluation 系统架构演进
SGSN Serving GPRS Support Node 服务GPRS支持节点
SIM Subscriber Identity Module GSM用户识别模块
SMC Security Mode Command 安全模式命令
SN Serving Network 服务网
SN id Serving Network identity 服务网标识
SQN Sequence Number 序列号
SRB Signaling radio bearer 信令无线承载
SRVCC Single Radio Voice Call Continuity 单无线语音呼叫连续性
S-TMSI S-Temporary Mobile Subscriber
Identity
SAE临时移动用户标识
TAI Tracking Area Identity 跟踪区域标识
TAU Tracking Area Update 跟踪区域更新
UE User Equipment 用户设备
UEA UMTS Encryption Algorithm UMTS加密算法
UIA UMTS Integrity Algorithm UMTS完整性保护算法
UICC Universal Integrated Circuit Card 通用集成电路卡
UMTS Universal Mobile Telecommunication
System
通用移动通信系统
UP User Plane 用户面
USIM Universal Subscriber Identity Module 通用用户识别模块
UTRAN Universal Terrestrial Radio Access
Network
通用陆地无线接入网
XRES Expected Response 期望的响应参数
3.3 约定
本文中的所有数据变量的 高位子串在左端, 低位子串在右端。子串可以是一比特
位,一个字节,或者任意长度的比特位串。当一个变量被分割成若干子串时, 左端(
高位)子串是0,次高位为1,以此下去,直到 低位。
4 安全架构概述
4.1 EPS 系统的安全架构
电话:82054513 http://www.ptsn.net.cn
7
图1给出安全架构的总体情况。
-
归属层
服务层
传输层
ME
应用层
用户应用 服务商应用
(IV)
(III)
(II)
(I)
(I)
(I)
(I)
(I)
SN
AN
(I)
USIM
(II)
HE
图1 安全架构总体情况
下面定义了五个类型的安全特色,每个类型的安全特色满足一定的威胁,完成一定的
安全目标。
a) 网络接入安全(I):此安全特色提供用户安全接入业务, 尤其是避免遭受来自无线
网络上的攻击。
b) 网络域安全(II):此安全特色保证节点间安全交换信令,避免遭受来自有线网络上
的攻击。
c) 用户安全 (III): 此安全特色负责保护移动台安全接入网络。
d) 应用层安全(IV): 此安全特色保证用户和业务提供者之间能够安全交换信息。
e) 可视可配置安全(V):此特色保证无论安全特色是否实施,用户能够知道;业务的
使用和配置都应应取决于安全特色。
5 EPS 系统的安全特征
5.1 用户与网络
5.1.1 用户身份与间的安全设备的保密
用户身份保密机制/机密性如TS33.102[4] 5.1.1定义。
从用户私人的角度来看,MSIN、IMEI和IMEISV应得到机密性保护。
如果网络通过受完整性保护的消息来请求设备标识IMEI或者IMEISV,UE应将其提供给
网络。
IMSI和IMSISV应被安全的存储于UE中。
在NAS安全激活之前,UE不应通过网络请求,发送IMEI或IMEISV发送给网络。
电话:82054513 http://www.ptsn.net.cn
8
IMEI或IMEISV应通过NAS协议发送。 注:在有些情况下,例如设备的第一次附着,MSIN只能以明文形式发送给网络。由于NAS加密在这
个操作之后才开始,所以IMEI和IMEISV就没有加密保护。
5.1.2 实体认证
实体认证如TS33.102[4] 5.1.2所定义。
5.1.3 用户数据和信令数据加密
5.1.3.1 加密需求
可以对RRC信令提供加密保护以阻止对UE进行追踪,对UE的追踪是基于小区级别的测
量报告、切换信息映射或UE小区身份关联。RRC信令是否加密取决于运营商。
加密所使用的协议应保证输入的加密参数的同步。
可以对NAS信令加以机密性保护,是否采用取决于运营商。
注1:推荐使用 RRC 和 NAS 信令机密性保护。
在受限服务模式(LSM)下(参见TS 23.401 [2])的紧急呼叫过程中,当UICC上的身
份认证不能成功执行时,应忽略对RRC、NAS信令和用户面的机密性保护(见第15章)。这
可以由网络通过选择EEA0作为NAS和RRC的机密性算法来完成。
用户面机密保护应在PDCP层实现,是否采用取决与运营商。 注2:推荐使用用户面加密保护。
注3:RRC 和用户面机密性保护在 PDCP 层实现,PDCP 层之下没有机密性保护。NAS 机密性保护通
过 NAS 协议实现。
5.1.3.2 算法标识符取值
除NULL算法外,本节定义的所有算法的输入密钥长度均为128位。 注:偏离上述需求应在下面列出的算法标识符中显式指出。
每个EPS加密算法(EEA)用一个4比特的标识符表示。目前定义了以下NAS,RRC和UP
加密算法:
00002 EEA0 不使用加密算法
00012 128-EEA1 SNOW 3G算法
00102 128-EEA2 AES算法
其余数值保留供以后扩展使用。
UE和eNB应实现EEA0,128-EEA1 和128-EEA2算法以便进行RRC信令和用户面加密。
UE和MME应实现EEA0,128-EEA1 和128-EEA2以便进行NAS信令加密。
5.1.4 用户数据和信令数据完整性保护
5.1.4.1 完整性需求
完整性保护相关的协议实现中应考虑到完整性保护输入参数的同步。
应对NAS和RRC信令进行完整性保护和防重放攻击保护。
除了TS24.301 [9]中所列情况之外,所有的NAS信令都应得到完整性保护。
电话:82054513 http://www.ptsn.net.cn
9
除了TS36.331 [16]中所列情况之外,所有的RRC信令都应得到完整性保护。
在受限服务模式LSM下(参见TS 23.401 [2])的紧急呼叫过程中,当UICC上的身份认
证不能成功执行时,应忽略完整性保护和对RRC、NAS信令的重放保护(见第15章)。这
可以由网络通过选择EIA0作为NAS和RRC的完整性算法来完成。EIA0应仅用于紧急呼叫。
eNB和UE间的用户面报文不必进行完整性保护。
5.1.4.2 算法标识符取值
所有算法的输入密钥长度均为128位。 注:偏离上述需求应在下面列出的算法标识符中显式指出。
每个EPS完整性算法(EIA)用一个4比特的标识符表示。目前定义了以下算法:
00002 EIA0 不使用完整性算法
00012 128-EIA1 SNOW 3G算法
00102 128-EIA2 AES算法
其余数值保留供以后扩展使用。
UE和eNB应实现128-EIA1 和128-EIA2算法以便进行RRC信令完整性保护。
UE和MME应实现128-EIA1 和128-EIA2以便对进行NAS信令完整性保护。
UE 应实现 EIA0 以便进行 NAS 和 RRC 信令完整性保护。如 5.1.4.1 中所定义, EIA0
只能用于未经认证的紧急呼叫。
MME和eNB可选实现EIA0。如果实现了EIA0,但是并没有法规强制要求支持未经认证的
紧急呼叫,则在部署MME和eNB时应禁止EIA0。
5.2 安全的可视和可配置
尽管通常安全特性对用户来说应该是透明的,对于某些特定事件,根据用户的兴趣,
应该向有需求的用户提供下列相关安全特征的操作可视性:
- 接入网络加密的指示:告知用户无线接入链路上用户数据的机密性是否得到保护
的特性,尤其当非加密呼叫建立时。
可配置性是这样一种属性,用户可以根据安全特征是否有效来配置应该使用还是提供
服务。一个服务仅当所有用户配置必需且和这个服务相关的所有安全特征有效时才可以使
用。推荐下列可配制性特征:
- 使用/禁止使用user-USIM认证: 用户应该能够为某个事件、服务或应用控制
user-USIM认证的有效性。
5.3 eNB 的安全要求
5.3.1 概述
本节的安全要求适用于所有类型的eNB。对特定类型eNB的更为严格的特殊要求在其他
3GPP标准中规定。
5.3.2 eNB 建立和配置的要求
电话:82054513 http://www.ptsn.net.cn
10
eNB建立和配置应该首先得到授权和认证,以使攻击者不能通过本地或远程访问修改
eNB设置和软件配置。
a) EPS 核心网与 eNB 以及相邻的 eNB 间需要安全关联,通过 X2 接口相连。安全关联
的建立是需要双向认证,实体间通信时使用安全关联。这些安全关联应该根据本
规范中的条款 11 和 12 来实现;
b) 用户决定是否对 eNB 采用 TS 33.310[6]中的证书准入机制;
c) 远程或本地管理系统与 eNB 间的通信应该相互认证;
d) eNB 应该能够保证软件/数据的改变是得到授权的;
e) eNB 应该使用得到授权的数据和软件;
f) 启动过程的敏感部分应该在安全环境中执行;
g) 保证软件传输到 eNB 的过程得到加密保护;
h) 保证软件传输到 eNB 的过程得到完整性保护。
5.3.3 eNB 内部密钥管理的要求
EPS核心网向用户提供特殊的会话密钥材料,以便在eNB中使用。EPS系统也支持长期
密钥,为认证和安全关联建立时使用,保护这些密钥是非常重要的。
保存在eNB内的密钥不应该离开eNB内部的安全环境,除非其他3GPP规范对此有另外的
规定。
5.3.4 eNB 内处理用户面数据的要求
eNB的一项功能是在UU接口和S1/X2参考点之间加解密用户面的分组数据。
a) 加、解密密钥保存在一个安全环境内,而用户数据加、解密操作也在此安全环境
内进行。
b) 通过 S1-U 和 X2-U 接口传输的用户数据应该得到完整性保护以及机密性保护,且
能够避免非授权方的重放攻击。如果采用加密的方式,应参见第 12 章。 注:是否在S1-U和X2-U接口上使用加密保护机制由运营商决定。如果eNB被放置在一个物理安全的
环境,那么安全环境可以包括eNB周边的其他节点和链路。
5.3.5 eNB 内处理控制面数据的要求
eNB的一项功能是在S1/X2参考点上为控制平面提供加密和完整性保护。
a) 控制面数据加解密应该在保存相关密钥的安全环境内部发生。
b) 通过 S1-MME 和 X2-C 接口传输的控制面数据应该被使用加密和完整性保护以及防
重放攻击,以免被未授权者攻击。如果采用某种加密手段,则参见第 11 章。
注:是否在S1-MME和X2-C接口上使用加密保护机制由运营商决定。如果eNB被放置在一个物理安全
的环境,那么安全环境可以包括eNB周边的其他节点和链路。
5.3.6 对 eNB 安全环境的要求
从逻辑角度看,安全环境存在于eNB内部,由支持敏感操作的功能组成。
电话:82054513 http://www.ptsn.net.cn
11
a) 安全环境应该支持敏感数据的安全存储,如,敏感数据指长期密钥和关键的配置
数据。
b) 安全环境应该支持敏感功能的执行,敏感功能如用户数据的加、解密操作,使用
长期密钥协议内的基本步骤。
c) 安全环境内使用的敏感数据不应该向外部实体开放。
d) 安全环境应该支持自启过程中敏感部分的执行。
e) 保证安全环境中操作得到完整性保护。
f) 只有得到授权的接入才能进入安全环境,进入安全环境后,可以存储数据,使用
数据,且执行某种功能。
6 UE 与 EPC 核心网络间安全流程
6.1 认证和密钥协商协议
6.1.1 AKA 流程
注 1:本小节中的认证数据是指 EPS 认证向量。
在E-UTRAN中使用EPS AKA认证和密钥协商过程。
基于Rel-99规范的SIM应用或基于Rel-99以后的规范,支持UICC的USIM应用可以接入
E-UTRAN网络,而基于UICC的2G SIM卡应用或SIM卡相关的应用是不允许接入E-UTRAN网络
的。
具有 E-UTRAN 无线能力的 UE应该支持 USIM-ME 接口,细节可参见 3GPP 规范
TS31.102[11]。
EPS AKA的过程中要产生密钥材料,用来构造用户面加密密钥、RRC加密密钥和完整性
密钥,以及NAS加密密钥和NAS完整性保护密钥。 注2:7.2.1节讲述了AS密钥和NAS密钥的产生过程。
MME通过ME发送给USIM卡一个随机数RAND和一个认证令牌AUTN用于网络认证。MME也发
送一个KSIASME给ME,用于标识EPS AKA过程产生的KASME(以及以后由KASME产生的密钥)。
接收到认证质询后,USIM卡应该首先检验当前认证向量是否首次使用和是否正确,参
见TS33.102[4],如果正确USIM卡计算一个响应的RES参数,然后,USIM计算CK和IK并传送
给ME。如果USIM卡用TS33.102[4]的c3算法由CK和IK计算得到Kc(即GPRS Kc),并将Kc
传送给ME,则ME忽略Kc参数,并且Kc不存储在USIM卡和ME上。如果验证失败,USIM卡将失
败原因通知ME,并同时发送AUTS参数(参见TS 33.102[4])。
ME接入E-UTRAN时,在认证过程中,应检查AUTN的AMF域中的分隔位是否被设置为1,
分隔位是AUTN中AMF域的第0位。
注3:根据规范TS 33.102[4],AMF域中的分隔位不能被运营商为其他操作再次使用。
注4:如果EPS AKA过程产生的CK和IK密钥被允许存储到CK和IK的保存区域,则可能会覆盖先前由
UMTS AKA过程产生的密钥,当EPS安全上下文和UMTS安全上下文同时保存的时候会产生问题
(比如实现空闲模式信令缩减时把安全上下文存储起来)。于是,当UICC插入其他ME中时,
如果USIM不支持EMM参数存储,则“可塑的漫游”(plastic roaming)需要一个新的EPS AKA
电话:82054513 http://www.ptsn.net.cn
12
认证过程。
一旦AUTN验证成功和AMF验证通过,UE应该对用户的认证响应消息作出回应RES。UE
使用附录A的KDF函数,用CK、IK、服务网络身份号(SN id)计算KASME,如果从KASME产生的
其他密钥得到成功使用,则SN标识隐含绑定认证了服务网络的身份。
注5:以上并不妨碍在以后的版本中由USIM卡产生KASME。
如果认证不成功,UE应发送用户认证拒绝消息,其中CAUSE值指示失败的原因。为了
与AUTN(见TS 33.102[4])一致,UE应提供由USIM卡产生的AUTS。
MME检查RES是否与XRES相等,如二者相等则认证成功,如二者不等或者接收到UE发送
的失败原因消息,则MME对UE重新进行认证。
图2描述了基于UMTS AKA(参见TS 33.102[4])的EPS AKA过程。下面密钥由UE和HSS共
享:
- 在EPS系统中,K是永久性密钥,同时保存在基于UICC的USIM和认证中心AUC中。
- CK和IK是密钥对,在执行AKA认证的过程中,同时在AuC中和USIM上产生。根据CK/IK
应用于EPS安全上下文环境或继承的安全上下文环境中,CK和IK有不同的处理过程,参见
6.1.2。
ME/USIM MME
User authentication request (RAND, AUTN, KSIASME)
User authentication response (RES)
User authentication reject (CAUSE)
图2 EPS 用户认证 (EPS AKA)
6.1.2 由 HSS 到服务网络的认证数据分发
注1:本小节中的认证数据代表 EPS 认证向量(AV)。
HSS到服务网络的认证数据分发,此过程的目的是HSS向MME提供若干个EPS认证向量
(RAND, AUTN, XRES, KASME),以执行一定数目的用户认证。每个认证向量都可用来认证UE。 注2:建议每次 AKA 启动时 MME 仅取一个 EPS 认证向量,以减少更多分层密钥的使用。可以用存储
的 KASME进行服务请求的认证而不需要 AKA 过程。另外,可以通过 TS33.102 [4]附录 C[4]中可
选的序列号管理机制设计用来避免重同步问题,该问题产生于误用认证向量。EPS 可以避免
重同步问题,不必采用序列号管理机制,而是立即从 HSS 得到一个认证向量用于 UE 和 MME
之间的认证。
MME HE
Authentication data request IMSI, SN identity, Network Type
TAuthentication data response
MME security context(s)
图3 从归属环境到 MME 认证向量的分发
电话:82054513 http://www.ptsn.net.cn
13
EPS认证向量从规范33.102 [4]中定义的认证向量中产生。应该使用KDF函数在HE中产
生密钥KASME,输入参数为CK,IK和服务网络标识。
如果网络类型为E-UTRAN,那么在AUTN中,AMF字段的分隔符(“separation bit”)
值应设置为1,以表示UE的认证向量仅用于EPS环境下的AKA认证。如果分隔符设置为0,则
表示认证向量用于非EPS上下文环境中,如GSM、UMTS。如果AMF域中的分隔符取值为1,CK,
IK的生成应不离开HSS。
MME通过向归属环境请求认证向量唤醒此流程。认证数据请求中应该包括IMSI,服务
网络身份,如MMC+MNC,网络类型,如E-UTRAN。为防止同步失败,MME还应包括RAND和AUTS,
这时归属网络向MME发送新的认证向量前验证AUTS参数(见TS 33.102 [4])。
从MME收到认证数据请求后,归属环境可以事先计算所需请求的EPS认证向量数目,并
将它们从HSS的数据库中取回,也可以根据需要随时计算所需的认证向量数目。 注 3:对 KASME预计算的可能性由 PLMN 绑定(PLMN-binding)所限制。
注 4:HSS 计算 KASME时需要确定 MME 有权使用 SN id,如何确定不在本标准范围之内。
HE发送认证响应给MME,认证响应中包含请求信息,如果请求多个EPS认证向量,则根
据其序列号进行分发。MME应知道EPS认证向量的顺序并按照顺序使用这些认证向量。
6.1.3 使用永久身份的用户识别
如果不能根据临时身份(GUTI)识别用户身份时,用户身份机制应该被服务网络唤醒。
尤其,当服务网络不能取回基于GUTI的IMSI,用户可以凭借IMSI在无线链路识别自己。
此机制如图4所示,允许用户在无线路径依靠永久身份(IMSI)来识别自己的身份。
-
ME/USIM MME
Identity Request
Identity Response (IMSI)
图4 查询用户标识
此机制由MME初始化,需要用户发送永久身份。用户回答中包括明文形式的IMSI。这
意味着违背了用户身份的保密性原则。
6.1.4 在同一服务网络域内 IMSI 和临时认证数据的分发
注3:本小节中的认证数据代表 EPS 认证向量(AV)。
这一流程的目的是:在同一服务网络域中,从以前访问的MME中获得临时认证数据,
并提供给新访问的MME。 注4:以下过程基于 TAU 过程,该过程还适用于附着过程。如用于附着过程,则下面流程中的所
有“TAU”替换为“Attach”。
这一过程如图5所示。 电话:82054513 http://www.ptsn.net.cn
14
-
MMEn MMEo
GUTI || TAIo
IMSI || E-AVs || EPS security context(s)
图5 在相同的服务网络中 IMSI 和认证数据分发
在从用户收到了位置(Tracking Area)更新请求后,这一过程应该被新访问的MMEn
唤醒。用户身份由在以前访问的MMEo通过临时用户身份方式GUTIo和Tracking area标识
TAIo进行识别。MMEo和新访问的MMEn处于同一服务网络域。
协议有如下步骤:
a) MMEn 发送用户身份请求给 MMEo,消息包括 GUTIo 和 TAIo。
b) MMEo 在数据库里搜索用户数据。如果用户被发现并且通过完整性检查,则 MMEo
应该发送响应:
1) 应包括 IMSI;
2) 可包括一定数量的未使用过的 EPS 认证向量,并以先到先得的方式分发;
3) 可包括当前 EPS 安全上下文数据。
MMEo随后删除EPS认证向量,其应该被发送,并且数据元素在EPS当前安全上下文。如
果MMEo不能识别用户或完整性检查失败,应该发送响应指示用户身份没有取到。
c) 如果 MMEn 收到带有 IMSI 的响应,它创建一条数据并存储 EPS 认证向量和应包括
的当前 EPS 上下文据。如果 MME 收到响应指示用户不能被识别,其在初始 E-UTRAN
附着过程中应该初始化一个用户身份识别过程,见 6.1.3,否则在 TAU 过程中拒
绝 UE 发起的 TAU 请求消息(参见 TS24.301[9]的第 4.4.4.3 节)。
同样的过程不用于EPS认证数据在同一个服务网络域的MME和SGSN之间的分发,即EPS
认证数据应不从MME提交给SGSN。
注3:这是因为EPS认证向量不包括CK与IK,对SGSN来说没有用处。
6.1.5 不同服务网络域间 IMSI 和认证数据的分发和使用
注1:本小节中的认证数据代表 EPS 认证向量(AV)。
一般来说,属于不同服务网络的MME之间的IMSI和认证数据的分发流程应该和属于同
一服务网络的MME之间的IMSI和认证数据的分发流程相同,见6.1.4。特别是,当前的EPS
安全上下文可能在属于不同服务网络的MME之间传送。但是,存在以下的约束条件:
⎯ 未使用的 EPS 认证向量或非当前的 EPS 安全上下文,不得在属于不同服务域
(PLMNs)的 MME 之间传送。
电话:82054513 http://www.ptsn.net.cn
15
同样的程序并不适用于不同服务网络的MME和SGSN之间EPS认证数据的分发,例如,EPS
认证数据不能从MME向SGSN传送。 注2:因为 EPS 认证数据不包含 CK 和 IK,对于 SGSN 是无用的。
6.1.6 MME 之间或 MME 和 SGSN 之间 IMSI 和认证向量的分发和使用
这一部分同时适用于UMTS认证向量在同一服务网络和不同服务网络间的分发,以下的
规则适用于在MME间或MME和SGSN之间认证向量的分发。
• MME 到 MME
MME之间不应转发从SGSN收到的UMTS认证向量。
• SGSN到MME
只有在MME和SGSN在同一服务网络时,SGSN可以向MME转发未使用过的认证向量。
• MME到SGSN
存储在MME中的UMTS 认证向量,可以由MME转回给相同的SGSN中。
存储在MME中的UMTS 认证向量不能由MME转发给其他SGSN。
6.2 EPS 密钥体系
与UMTS相比,EPS安全中一个 重要的特色是设计了更为复杂的密钥体系,从而提高
系统的安全等级。
USIM / AuC
UE / MME
UE / ASME KASME
K
KUPenc
KeNB KNASint
UE / HSS
UE / eNB
KNASenc
CK, IK
KRRCint KRRCenc
图6 E-UTRAN 的密钥体系
EPS密钥分层体系(见图6)包括下列密钥:KeNB、KNASint、KNASenc、KUPenc、KRRCint和KRRCenc。
• KeNB:是一个由 ME 和 MME 派生出来或由 ME 和目标 eNB 从 KASME派生出来的密钥。
NAS通信相关的密钥:
• KNASint:是应只用于 NAS 通信完整性保护的密钥,由 ME 和 MME 根据 KASME和完整性算
法标识使用 KDF 函数产生,具体细节参见附录 A。
• KNASenc:是应只用于 NAS 通信机密性保护的密钥,由 ME 和 MME 根据 KASME和机密性算
法标识使用 KDF 函数产生,具体细节参见附录 A。
电话:82054513 http://www.ptsn.net.cn
16
用户面相关的密钥:
• KUPenc :是应只用于用户面通信机密性保护的密钥。由 ME 和 eNB 根据 KeNB和机密性
算法标识使用 KDF 函数产生,具体细节参见附录 A。
RRC通信相关的密钥:
• KRRCint:是应只用于 RRC 通信完整性保护的密钥。由 ME 和 eNB 根据 KeNB和完整性算
法标识使用 KDF 函数产生,具体细节参见附录 A。
• KRRCenc:是应只用于 RRC 通信机密性保护的密钥。由 ME 和 eNB 根据 KeNB和机密性算
法标识使用 KDF 函数产生,具体细节参见附录 A。
中间密钥:
• NH:是由 ME 和 MME 产生的密钥,能提供如章节 7.2.9 所述的前向安全。
• KeNB*:是由 ME 和 eNB 当执行如章节 7.2.9 所述的水平或垂直密钥推导时所产生的
密钥。
图7显示了不同密钥之间的依赖关系,以及从网络节点的角度来看密钥的推演过程。
图8显示了相应的关系和ME上的密钥推演过程。一个KDF的2条虚线输入表示其中一个输入
依赖于密钥推演环境。 注:图7和图8并没有包含前向安全的密钥处理(见章节7.2.9和图11)或IRAT移动性时密钥的推导
(见章节9和章节10)。
电话:82054513 http://www.ptsn.net.cn
17
图7 网络节点上 EPS 的密钥分发和密钥推导方案(尤其是 E-UTRAN)
MME HSS CK,IK
KDF
256
256
SN id, SQN ⊕ AK
KeNB
KASME
256
KDF
KD
F
KDF KDF
256-bit keys KNASenc KNASint
128-bit keys KNASenc KNASint
Trunc Trunc
256 256
128 128
256
256 256
NAS-enc-alg, Alg-ID
NAS-int-alg,Alg-ID
NAS UPLINK COUNT
KDF KDF
256-bit keys KRRCenc KRRCint
128-bit keys KRRCenc KRRCint
Trunc Trunc
256 256
128 128
256 256
RRC-enc-alg,Alg-ID
RRC-int-alg,Alg-ID
UP-enc-alg,Alg-ID
256256
Physical cell ID, EARFCN-DL
256
KeNB
eNB
eNB
KeNB*
KDF
KUPenc
KUPenc
256
256
128
Trunc
KD
F
NH
NH
KeNB
256
电话:82054513 http://www.ptsn.net.cn
18
图8 ME 上的 EPS 密钥推演方案 (尤其在 E-UTRAN)
如图7和图8所示,KASME、KeNB和NH的原始长度为256比特,KASME和KeNB推演得到NAS密钥,
用户面密钥和RRC密钥长度,上述密钥的长度均为256比特。用于保护NAS的加密算法和完
整性算法、用户面加密算法、RRC加密算法和完整性算法,都需要128比特的密钥作为输入,
因此需要对原始长度为256比特的密钥进行截断操作,保留低128比特。图7和图8显示了如
何截成128比特。
截断函数以256比特字符串作为输入,返回一个低128比特的字符串输出,详细见附录
A.6。
6.3 EPS 密钥标识符
密钥KASME应由密钥集识别符eKSI标识。eKSI可能是类型KSIASME或类型KSISGSN,eKSI应和
KASME、临时标识符GUTI保存在UE和MME中。 注1:GUTI 标注 KASME存在哪个 MME。
ME CK,IK
KDF
256
256
SN id, SQN ⊕ AK
KeNB
KASME
256
KDF
KD
F
KDF KDF
256-bit keys KNASenc KNASint
128-bit keys KNASenc KNASint
Trunc Trunc
256 256
128 128
256
256 256
NAS-enc-alg, Alg-ID
NAS-int-alg,Alg-ID
NAS UPLINK COUNT
KDF KDF
256-bit keys KRRCenc KRRCint
128-bit keys KRRCenc KRRCint
Trunc Trunc
256 256
128 128
256 256
RRC-enc-alg,Alg-ID
RRC-int-alg, Alg-ID
UP-enc-alg,Alg-ID
256Physical cell ID, EARFCN-DL
256
256
KeNB*
KDF
KUPenc
KUPenc
Trunc
256
128
256
KD
F
NHNH
KeNB
256
电话:82054513 http://www.ptsn.net.cn
19
在EPS系统中,KASME密钥集标识符KSIASME是一个在EPS AKA过程中与KASME相关联的参数。
密钥集合标识符KSIASME由MME分发,在认证请求消息中发送给终端,并与KASME 一起保存在终
端中。EPS中KSIASME的目的是使得UE和MME在不调用认证过程的情况下也能标识一个本地
KASME。这种使用能使后续子连接建立时重用密钥KASME。
密钥集标识符KSISGSN是一个参数,该参数与在RAT间移动时从UMTS密钥推导出来的映射
的KASME相关联(参见第9章和第10章)。在E-UTRAN空闲时和从GERAN/UTRAN到E-UTRAN切换时,
UE和MME在推导映射的KASME时各自还需要产生密钥集标识符KSISGSN,KSISGSN和映射的KASME保存
在一起。
KSISGSN的目的是使UE和MME在RAT间移动时能识别映射的KASME(参见第9章和第10章)。
eKSI格式应能区分接收到的参数是KSIASME类型还是KSISGSN类型。eKSI格式应包含一值
域。KSIASME和KSISGSN格式相同。KSIASME和KSISGSN的值域都为3比特,允许7个值来标识不同的密
钥组。在UE侧,值'111'表示没有有效KASME。eKSI格式见3GPP TS 24.301 [9]。
从网络发送到移动终端的eKSI的'111'值为保留值,未作定义。 注2:除了 EPS 安全上下文,UE 还可缓存 UMTS 安全上下文。这些 UMTS 安全上下文由 KSI 标识(见
3GPP TS 33.102 [4]中定义)。
6.4 EPS 安全上下文的处理
在如下条件下应从ME中删除EPS安全上下文:
a) UICC 在 ME 带电状态下被取出;
b) ME 开机并发现另一不同于 初创建 EPS 安全上下文的 UICC 被插入 ME;
c) ME 开机并发现其中没有 UICC。
KASME不允许从EPC转发到EPC外的网络实体上。
ME和MME都应能在易失存储器中存储一个非当前EPS安全上下文和一个当前EPS安全上
下文。当连接在E-UTRAN时,ME和MME都应能在易失存储器中存储用于计算当前EPS AS安全
上下文密钥的NCC、NH和相关联的KASME。
任何成功的EPS AKA过程都应能创建第3章定义的部分本地EPS安全上下文。该上下文
应覆盖现有的非当前EPS安全上下文。
UE应使用当前的EPS安全上下文来保护TAU请求或附着请求。然而,也许存在这样的情
况,即该EPS安全上下文不是MME存储的当前安全上下文。在该情况下,如果MME接收到一
个不是由当前全EPS安全上下文保护的TAU请求或附着请求,那么MME应将该接收到的上下
文置为当前EPS安全上下文,并删除已有的当前EPS安全上下文。
EPS安全上下文相关联的eKSI对应的NAS安全模式命令(SMC)过程成功运行后,该上
下文即成为当前EPS安全上下文,且应覆盖现有的当前EPS安全上下文。 注1:由于 NAS 消息只能在 ECM-CONNECTED 状态下进行发送和接收,在状态从 ECM-CONNECTED 切换到
ECM-IDLE 时和状态从 EMM-REGISTERED 切换到 EMM-DEREGISTERED 时 ME 要确保存于 USIM(如果 USIM
支持)或存于 ME 中非易失存储器上本地的 EPS NAS 安全上下文是有效的,且与 ME 中非易失
存储器上的安全上下文一致,见 7.2.7.2、7.2.7.3 和 7.2.6.1 节。
电话:82054513 http://www.ptsn.net.cn
20
切换到E-UTRAN后的安全上下文处理机制见9.2.2.1节。 注2:只有本地 EPS NAS 安全上下文能存储在 USIM 和 ME 非易失性存储器中的 EMM 参数文件中,映
射 EPS NAS 安全上下文不能存储。
6.5 NAS COUNT 处理机制
每个KASME都和一对NAS COUNT相关联,某一KASME关联的NAS COUNT对在使用过程中不能被
重置为初始值(因为NAS COUNT只有在新KASME被创建时才能被置为初始值)。这样可以防止
使用相同的NAS COUNT值产生相同的NAS密钥,例如当UE在两MME间来回移动时可能导致产
生相同的NAS密钥而出现密钥流重用现象。
NAS COUNT仅在如下情况下才可被设为初始值:
a) AKA 认证成功后创建一个部分本地 EPS NAS 安全上下文; 注:对于该本地安全上下文,UE在接收到第一个NAS SMC之前实际不需要NAS COUNT值,MME在发
送第一个NAS SMC之前实际也不需要NAS COUNT值。在MME发送第一个NAS SMC(包含部分本地
安全上下文)之前,MME将NAS COUNT值设为0。在MME发送NAS SMC消息后(包含部分本地安全
上下文),在发送3GPP TS 24.301 [9]所定义的每条NAS消息后,部分本地安全上下文中的NAS
COUNT值需要增加。
b) 从 UTRAN/GERAN 切换到 E-UTRAN 时,通过上下文映射创建一个 EPS NAS 安全上下
文;
c) 空闲模式下从 UTRAN/GERAN 移动到 E-UTRAN 时,通过上下文映射创建一个 EPS NAS
安全上下文。
空闲模式下移动或切换时,已有的本地 EPS NAS 安全上下文的 NAS COUNT 不应被重
置。
NAS COUNT 的初始值应为 0。
7 UE 与 EPS 接入网络间安全流程
7.1 用户身份保密机制
MME应向UE分发一GUTI,以保护用户身份的机密性。GUTI定义见3GPP TS 23.003[3]。
S-TMSI为GUTI的简化形式,用以支持用户身份的机密性,并提供更高效的无线信令交
互(如寻呼和服务请求)。只有在成功激活非接入层安全之后,才能向UE发送新的GUTI。
7.2 在 E-UTRAN 中处理用户有关的密钥
7.2.1 AKA 流程中 E-UTRAN 密钥设置
认证和密钥设置由认证交互过程触发。每当运营商有需求,认证和密钥设置可随时由
网络侧发起。在MME获知移动用户的身份标识(即GUTI或IMSI)后就可立即设置密钥。MME
通过KDF(见安全参数规范部分)从本地存储的KASME推衍产生KeNB,并按需传递给UE的服务
eNB。KASME存储在UE和MME中,并在下次认证过程中进行更新。
NAS密钥、KeNB、RRC和UP的密钥根据KASME使用附录A中定义的KDF推衍产生。
MME和UE在NAS安全模式建立过程(见7.2.4节)中使用由KASME推导出来的NAS密钥。AS
电话:82054513 http://www.ptsn.net.cn
21
密钥应在随后的AS安全模式建立过程中(见7.2.4节)或密钥在线更新过程中(见7.2.10
节)使用。
7.2.2 E-UTRAN 密钥识别
6.3描述的是如何标识KASME,即用密码组标识eKSI。从KASME推衍产生的KNASenc和KNASint(见
6.2定义)可由eKSI和密码组参数{上行NAS计数器,算法辨别器,算法标识}唯一识别,这
些参数就是经KDF从KASME推衍上述密钥的输入参数,见附录A。
初始KeNB可由密钥集标识符(即eKSI)和推衍该密钥的上行NAS COUNT唯一识别。本章
定义的中间密钥NH可由eKSI、初始KeNB和一个计数器唯一确定。其中初始KeNB是由当前连接
状态下的NAS安全上下文产生的(见附录A.4);计数器是统计从初始KeNB开始产生过的NH个
数,下跳链计数器(NCC)取该计数器的 低3比特位。
本章定义的中间密钥KeNB*,以及6.2定义的E-UTRAN密钥等级中的非初始KeNB、KRRCint、
KRRCenc、KUPenc,可由eKSI和密码组参数{初始KeNB或NH,算法辨别器,算法标识,横向密钥推
衍所需的PCI序列号和EARFCN-DL}唯一识别,这些参数就是经KDF从KASME推衍上述密钥的输
入参数,见本章和附录A。
本章及第9、10章将规定上述参数中哪些需包括在安全相关消息中,以便接收实体可
唯一识别某一密钥。
7.2.3 E-UTRAN 密钥生命周期
所有E-UTRAN密钥都是从KASME推衍产生的。6.2定义的密钥等级不允许直接更新RRC和UP
密钥,而应基于新的KeNB推衍新的RRC和UP密钥。新KeNB产生自某些动态参数(如PCI)及状
态转变时新的密钥推衍参数(如NAS上行计数器)。在eNB间切换和状态转变过程中,eNB
就会产生新的RRC和UP密钥(见7.2.7至7.2.9节)。不同状态转变过程中的E-UTRAN密钥处
理(创建、更改、更新)见7.2.6、7.2.7、7.2.8和7.2.9节。
KASME在AKA认证成功后才能产生,或在向E-UTRAN进行的inter-RAT移动过程中产生(见
第9、10章)。如果UE没有有效KASME,UE应向网络发送一个带"111"值的KSIASME,以发起认证
或再认证过程,并在AKA认证成功后获得新的KASME。
7.2.4 安全模式命令过程和算法协商
7.2.4.1 算法协商需求
a) UE 和服务网络应为下列需求协商算法
1) RRC 加密和 RRC 完整性保护(UE 和 eNB 之间);
2) 用户面(UP)加密(UE 和 eNB 之间);
3) NAS 加密和 NAS 完整性保护(UE 和 MME 之间)。
b) 服务网络应按照如下前提选择算法
1) UE 的安全能力;
2) 当前服务网络实体允许配置的安全算法列表。
电话:82054513 http://www.ptsn.net.cn
22
c) 对于接入层和非接入层安全,UE 应支持相同的加密和完整性算法;
d) UE 应能确认每个指定算法,即通过完整性保护使 UE 确信算法选择没有被造假,
即 UE 安全能力没有被降级篡改;
e) ME 发送至网络的 UE 安全能力应通过 NAS 消息(受完整性保护)返回给 ME,这样
ME 就可以检测 UE 安全能力是否遭到“降级篡改攻击”。接入层和非接入层安全
都需要 UE 安全能力;
f) 接入层和非接入层的安全模式命令交互过程要求彼此独立。AS SMC 交互过程负责
配置接入层安全(RRC 和 UP),NAS SMC 交互过程负责配置非接入层安全。
1) RRC 层完整保护和加密应在同一接入层 SMC 过程中被激活,但不一定在同一消
息中。
2) 用户面加密与 RRC 层加密同时被激活。
g) 允许在相同时刻选择不同的接入层算法和非接入层算法。
7.2.4.2 AS 算法协商过程
7.2.4.2.1 接入层初始化阶段建立安全上下文时的协商过程
网管应为每个eNB配置系统允许的算法列表,其中包括一个完整性算法列表和一个加
密算法列表。这些列表的算法应按运营商自定的优先级(具体定义见安全参数规范)进行排
序。当接入层安全上下文在eNB上建立时,MME应向eNB发送UE的EPS安全能力。eNB应从算
法配置列表和UE EPS安全能力列表的交集中选择能满足的 高优先级加密算法和完整性
算法。选择的算法应通过AS SMC告知UE。加密算法用于加密用户面和RRC通信,完整性算
法用于保护RRC通信的完整性。
7.2.4.2.2 X2-切换
从一个源eNB到另一个eNB的X2切换,源eNB应在切换请求消息中包括UE的EPS安全能力
以及在源小区中所使用的加密和完整性算法。目标eNB应根据本地优先级算法配置列表,
从UE的EPS安全能力中选择优先级 高的算法,此外,完整性和加密算法选择都包括在上
述过程之内,上述所选算法应在切换命令中通知UE。在路径切换消息中,目标eNB应发送
从源eNB接收的UE EPS安全能力给MME。MME应检查从eNB收到的UE的EPS安全能力是否与MME
之前存储的UE EPS安全能力相同,如果不同,MME记录此事件,采取额外的措施,比如发
出警报。 注:在切换请求消息中向目标eNB传送源小区加密与完整性算法是为了帮助目标小区对潜在的
RRCConnection Re-establishment过程中SRB1上所传递的RRCReestablishment Complete消息
进行解密和完整性验证。
7.2.4.2.3 S1-切换
从一个源eNB到另一个eNB的S1切换(可能包括MME交换,因此需要将UE安全能力从源
MME到传输到目标MME的),目标MME应在S1 AP HANDOVER REQUEST消息中包括UE的EPS安全
能力并发送给目标eNB。目标eNB应根据已含有优先级定义本地算法配置列表,从UE的EPS
电话:82054513 http://www.ptsn.net.cn
23
安全能力中选择优先级 高的算法,完整性和加密算法选择都包括在上述过程之内。上述
所选算法应在切换命令中通知UE。
7.2.4.2.4 eNB 内切换
在eNB内部的切换过程中不需要改变AS安全算法。
7.2.4.3 NAS 算法选择的过程
7.2.4.3.1 初始 NAS 安全上下文的建立
通过网络管理以及允许使用的算法列表来配置MME。NAS完整性算法和加密算法应各自
有不同的算法列表。这些列表根据运营商确定的优先级进行排序。
当NAS安全上下文建立时, MME选择一个NAS加密算法和一个NAS完整性保护算法. MME
应当发起一个NAS 安全模式命令过程,并将上述选择的算法通过该消息发送给UE,消息中
同时包括UE的安全能力。(参见7.2.4.4节)
这样做,当攻击者在初始的NAS消息中修改UE的安全能力,可以被检测到。MME根据列
表的排序选择优先级 高的NAS算法。
7.2.4.3.2 MME 改变
如果存在MME发生变化从而导致所使用的NAS算法发生变化,目标MME 发起一个NAS
SMC过程,在发送给UE的消息中包括所选择的算法以及UE的安全能力(这样做,当攻击者
在初始的NAS消息中修改UE的安全能力,可以被检测到)。(参见7.2.4.4节) MME应根据算
法列表(参见7.2.4.3.1)的排序选择优先级 高的NAS算法。 注:在发生MME的一改变的S1切换之后,执行一个TAU过程。该过程同样发生在引起MMEs改变的向
EUTRAN网络的inter-RAT切换,以及待机模式移动条件下的inter-RAT和intra-RAT切换过程
中。
7.2.4.4 NAS SMC 流程
NAS SMC过程在MME和UE之间构成回环消息。MME发送NAS SMC给UE,同时UE回复非接入
层模式完成消息给MME。
从MME到UE的NAS SMC消息包含重放的UE的安全能力,选中的非接入层算法,和用来标
识eKSI的KASME,以及在待机移动状态生成映射上下文的NONEUE 和 NONCEMME (参见9.1.2)。
这条消息由非接入层完整性密钥进行完整性保护(但是不加密),此密钥由eKSI标识的KASME
派生出,如图9所示。
UE应验证NAS SMC消息的完整性。包括:确认由MME发出的UE安全能力与存储在UE中的
安全能力相匹配,以确保没有被攻击者所篡改;进行完整性检查,具体过程是通过所指示
的完整性保护算法与基于eKSI所指示的KASME所导出的NAS完整性密钥进行完整性检查。另
外,由于9.1.2节所述的原因而生成一个映射上下文时,UE应确保接收到的NONCEUE 与在TAU
请求中发送的NONCEUE一致,并且也通过CK, IK和另两个NONCEs (参见附录A.10)来计算
K'ASME。
电话:82054513 http://www.ptsn.net.cn
24
如果MME没有接收到NAS SMC的响应,该安全命令包含产生一个映射上下文所需要的
NONCEs,并且MME将重新尝试生成映射上下文,此时MME应使用与NONCEUE 和NONCEMME相同的
值。
如果UE接收到一个重传的NAS SMC,例如在已经成功接收到一个先前的命令(并且因
此生成了一个映射的EPS NAS安全上下文),该命令包含NONCES时,UE应该像如上所述进行
消息处理,除了不要求重新生成K'ASME或者如果不生成K'ASME时检查NONCEUE。
如果NAS SMC检查通过,UE应向MME返回NAS SMC完成的消息。
TAU过程完成后,UE应删除NONCE_UE。
如果验证成功,UE应采用该安全上下文来启动NAS完整性保护和加密/解密功能,且向
MME发送经过加密和完整性保护过的NAS安全模式完成的消息。如果在NAS SMC安全命令消
息中,MME请求了IMEISV, 则NAS安全模式完成消息中应包括IMEISV。
MME应采用在NAS SMC中指示的密钥和算法对接收到的NAS安全模式完成消息进行解密
与完整性检查。接收到NAS安全模式完成消息之后,MME将采用这个安全上下文进行NAS下
行链路的加密。在发出NAS SMC消息之后,MME将采用这个安全上下文进行NAS上行链路的
解密。
如果在ME处的NAS SMC没有成功地通过验证, ME应回复一个没有任何保护措施的NAS
安全模式拒绝消息 (参见 TS 24.301 [9]). NAS安全模式拒绝消息以及所有随后的NAS消
息都应使用EPS NAS安全模式上下文来进行保护,例如:在NAS SMC失败之前的EPS NAS 安
全上下文(直到一个新的NAS EPS安全上下文被建立为止,例如:通过一个新的NAS安全模
式控制过程)。如果在NAS SMC之前不存在任何EPS NAS安全上下文, NAS安全模式拒绝消
息就不被保护。 注:如果由于发送安全模式拒绝消息而造成上行NAS COUNT的绕回(wrap around),UE则根据
TS24.301[9]中的定义来释放NAS链接,不再发送安全模式拒绝消息。
-
ME MME
NAS Security Mode Command (eKSI, UE sec capabilities, Ciphering algorithm, Integrity algorithm,
[IMEI request,] [NONCEUE, NONCEMME,] NAS-MAC)
Verify NAS SMC integrity. If succesful, start ciphering/ deciphering and integrity protection and send NAS Security Mode Complete.
Start uplink deciphering
Start integrity protection
NAS Security Mode Complete ([IMEI,] NAS-MAC)
Start downlink ciphering
图9 NAS SMC 命令过程
7.2.4.5 AS SMC 流程
电话:82054513 http://www.ptsn.net.cn
25
AS SMC过程由在eNB和手机之间的回程消息组成,eNB发送AS SMC给UE,同时UE回复接
入层安全模式完成消息,参见图10。
从eNB到UE的AS SMC消息应包含被选的接入层算法。这条消息应由RRC完整密钥进行完
整保护,该密钥基于KASME。
从UE到eNB的接入层安全模式完成消息应被所选的RRC算法进行完整性保护,由AS SMC
消息指示算法并且由RRC完整密钥进行保护,此密钥是基于KASME。
发送AS SMC消息后,在eNB上开始进行RRC和用户面下行数据加密。接收到并成功验证
了接入层安全模式完成消息后,在eNB上开始进行RRC和用户面上行数据的解密。
发送接入层安全模式完成消息后,在UE上开始进行RRC和用户面上行数据加密。接收
到并成功验证了AS SMC消息后,在UE上开始进行RRC和用户面下行数据的解密。
如果在ME中,任何AS SMC的控制不成功,ME应以未受保护的安全模式失败消息做为回
复(消息格式参见TS 36.331 [16])。
AS SMC 总是导致 AS 密钥改变。
-
ME eNB
AS Security Mode Command (Integrity algorithm, Ciphering algorithm, MAC-I)
AS Security Mode Complete (MAC-I)
Verify AS SMC integrity. If succesful, start RRC integrity protection, RRC/UP downlink deciphering, and send AS Security Mode Complete.
Start RRC/UP uplink ciphering
Start RRC/UP uplink deciphering
Start RRC integrity protection
Start RRC/UP downlink ciphering
图10 AS 安全建立
7.2.5 LSM模式下未认证 UE的算法协商
处于受限服务模式(LSM)中的UE,和(由于某种原因)未得到MME认证的UE,可以通
过发送紧急附着请求消息建立紧急呼叫。MME可以被配置是否允许为未认证的受限服务状
态的UE建立紧急呼叫的承载。如配置为允许,MME在NAS安全中采用EIA0和EEA0作为完整性
保护算法和加密算法。
如果MME在收到来自UE的紧急附着请求消息之后允许对LSM模式下未认证的UE紧急呼
叫建立承载,MME 应:
a) 当激活 EPS NAS 安全上下文时,选择 EIA0, EEA0 作为 NAS 算法且通过 NAS 安全
模式控制过程通知 UE。
b) 当发送如下消息给 eNB 时,设置 UE 的 EPS 安全能力仅包含 EIA0 和 EEA0:
1) S1 UE 初始上下文建立;
电话:82054513 http://www.ptsn.net.cn
26
2) S1 UE 上下文修改请求;
3) S1 切换请求 。 注1:如果 MME 在发送给 eNB的 UE EPS 安全上下文中仅包括 EIA0 和 EEA0,那么 eNB 只能选择 EIA0
作为 AS 的完整性保护算法,选择 EEA0 作为 AS 加密保护算法。
UE和MME应确定没有建立EPS NAS安全上下文,这样MME才能选择EIA0作为NAS完整性保
护算法,UE 才能接受NAS SMC并选择EIA0为NAS完整性保护算法。本协议的第15章有这方
面的论述。同时如MME选择EIA0为NAS完整性保护算法,UE应接受EIA0为AS完整性保护算法,
这一过程通过AS安全模式控制过程或切换命令实现,此时UE没有其他可选项。 注2:由于版本 8 的 eNB 不支持 EIA0 算法,所以在切换时如 UE 的 EPS 安全上下文仅有 EIA0 完整
性保护算法则版本 8 的 eNB 拒绝切换。
7.2.6 状态转移过程密钥处理
7.2.6.1 转移到 EMM-DEREGISTERED
有很多不同的原因导致转移到EMM-DEREGISTERED状态。如果是因为NAS消息导致状态
转移到EMM-DEREGISTERED,如MME和UE间存在安全上下文,应使用当前EPS NAS安全上下
文(映射的或本地的)对它们进行完整性保护。
在状态转移到EMM-DEREGISTERED时,UE和MME应做如下处理:
a) 如果有完整的非当前本地 EPS NAS 安全上下文,且存在一个当前的映射 EPS NAS
安全上下文,那么应用非当前本地 EPS NAS 安全上下文代替当前的上下文。
b) 删除保存的所有映射或者部分的 EPS NAS 安全上下文。
下面描述如何处理剩下的认证数据: a) 附着拒绝:所有认证数据都应从 UE 和 MME 上删除。
b) 去附着:
1) UE 发起
♦ 如果是因为关机的原因,除以下信息以外,所有认证数据都要从 UE 和 MME
中删除。
- 当前本地 EPS NAS 安全上下文(同 6.1.1 节),应保存在 MME 和 UE,且
- 任何未使用的认证向量 可以保存在 MME 中。
♦ 如果不是关机的原因,UE 和 MME 中应保存所有的认证数据。
2) MME 发起
♦ 显式:如果去附着类型是再附着,所有的认证数据应保存在 UE 和 MME 中。
♦ 隐式:所有认证数据应保存在 MME 和 UE 中。
3) HSS 发起:如果消息为“用户撤销”,那么应从 UE 和 MME 中删除所有认证数
据。
c) TAU 请求拒绝: 有多种原因导致 TAU 拒绝。 采取的措施参见 TS 24.301 [9]。
当UE向EMM-DEREGISTERED状态转移时,UE应进行以下的完全本地EPS NAS安全上下文
存储,这里不包括UE安全能力和密钥KNASint 和 KNASenc。
a) 如果在 ME 非挥发性内存中没有完全的本地 EPS NAS 安全上下文,那么任何一个当
电话:82054513 http://www.ptsn.net.cn
27
前存储在 UICC 或非挥发性内存中的 EPS NAS 安全上下文都应该标记为无效的。
b) 如果 USIM 支持 EMM 参数存储,那么 ME 应在 USIM 上存储完全本地的 EPS NAS 安全
上下文参数,(KNASint 和 KNASenc除外),并标记 USIM 中的本地 EPS NAS 安全上下文
为有效的,并且不会在ME的非挥发性内存中存储任何本地的EPS NAS安全上下文。
c) 如果 USIM 不支持 EMM 参数存储,那么 ME 应在本机的非挥发性内存上存储完全本
地的 EPS NAS 安全上下文参数,(KNASint 和 KNASenc除外),并标记内存中的本地 EPS
NAS 安全上下文为有效的。
对于没有使用任何上述过程的MME或UE进入EMM-DEREGISTERED状态,已有的认证数据
的处理方式参见TS 24.301[9]。
7.2.6.2 由 EMM-DEREGISTERED 转移到其它状态
7.2.6.2.1 概述
当UE从EMM-DEREGISTERED 状态转移到EMM-REGISTERED 或ECM-CONNECTED状态,有两
种情况需要考虑,或是一个完整的EPS 非接入层安全上下文存在,或是此上下文不存在。
7.2.6.2.2 本地 EPS 非接入层安全上下文存在的情况
UE传送NAS附着请求消息,此消息受到完整性保护,对于被UE使用的EPS NAS安全上下
文在MME中是非当前安全上下文的情形,采用6.4节中的方法。更进一步,假设在AS SMC
之前没有NAS SMC过程,Attach Request消息的NAS COUNT被使用并结合附录A中的KDF函数
来产生KeNB。作为NAS Attach Request的结果,eNB应向UE发送一个AS SMC来激活接入层的
安全。所使用的KeNB从当前的EPS NAS安全上下文中导出。
当UE收到接入层的SMC,但是在附着请求之后并没有接收到NAS SMC,它应使用附着请
求消息的NAS序列号(例如上行链路的NAS序列号)来触发接入层SMC在推导KeNB KDF过的程
中发送更新的参数。根据此KeNB,产生RRC保护密钥和用户面保护密钥,参见7.2.1。
无论UE当前连接的MME与以前连接的MME是否相同,都可以使用相同的流程更新KeNB。
如果UE连接到一个与之前不同的MME,且此MME支持不同的非接入层算法,应在当前MME中
重新生成非接入层密钥,且生成密钥时,需使用新的算法标识作为KDF函数的输入。
此外,如果需要MME将非接入层的SMC发送给UE,以指示NAS算法的改变和使用重新生
成NAS密钥。UE应保证用来验证NAS SMC完整性的非接入层密钥,是使用在NAS SMC中指定
的算法标识来生成的。NAS SMC命令和NAS SMC完整消息由这些新的NAS密钥来保护。
如果有一个NAS安全命令模式,在附着请求之后,在AS SMC之前,UE和MME使用 近的
NAS SMC完成(上行链路的 NAS COUNT)信令的NAS COUNT和相关的KASME,做为KeNB推导的参
数。从KeNB,推导出RRC保护密钥和用户面保护密钥,描述参见7.2.1.
7.2.6.2.3 运行 EPS AKA 认证
如果在7.2.6.2.2节描述的过程中,在MME没有完整本地EPS NAS安全上下文(例如UE
发送一个未经保护的Attach Request消息,或者UE使用了一个不再存储在MME中的一个当
前本地EPS安全上下文来保护Attach Request消息),就需要运行一个EPS AKA过程。如果
在MME中有一个完整本地EPS NAS安全上下文,MME可以(根据MME的策略)在附着请求之后,
电话:82054513 http://www.ptsn.net.cn
28
对应的接入层SMC之前,执行一个新的EPS AKA认证过程和一个NAS SMC过程(基于从EPS AKA
运行过程中导出的KASME,激活新的EPS NAS 安全上下文)。非接入层(包括上、下行)序列
号重置开始值,在从更新的KASME中产生KeNB过程中,上行非接入层序列号的开始值作为更新
参数来使用。当UE接收到接入层SMC命令,该命令中包括新的KASME,此参数用来指示更新的
KASME,而KASME用来产生KeNB,KDF函数应用来推导KeNB。 注:使用上行链路非接入层序列号初始值,不能导致两次使用的相同的KASME和非接入层序列号合并。
在执行AKA认证过程后,UE发送给MME的第一次完整性保护非接入层消息,是NAS SMC完成消息,
这一点可以得到保证。
NAS SMC完成消息应包括上行非接入层序列号的初始值,序列号用来作为一个更新参
数,在KeNB推导和KASME更新过程中。AKA过程中之后,NAS SMC需要从MME发送到UE,以便于
将新的非接入层密钥投入使用。NAS SMC命令和NAS SMC完整消息应由这些新的非接入层密
钥保护。
7.2.7 当处于 EMM-REGISTERED ,从 ECM-IDLE 到 ECM-CONNECTED 和从 ECM-CONNECTED to
ECM-IDLE 状态转移过程中密钥处理
7.2.7.1 ECM-IDLE 到 ECM-CONNECTED 的状态转移
UE发送一个初始NAS消息来初始化从ECM-IDLE到ECM-CONNECTED状态的转移[9]。在转
移到ECM-CONNECTED状态后,MME应该能够检查是否需要一个新的认证过程,例如 由于在
业务提供商间切换之前的需要。
如果USIM支持EMM参数存储,ME应该在进入EMM-CONNECTED状态时将USIM上存储的EPS
NAS安全上下文标记为无效。如果USIM不支持EMM参数存储,ME应该在进入EMM-CONNECTED
状态时将内存中存储的EPS NAS安全上下文标记为无效。
当无线承载的加密保护建立之后,RRC保护密钥和用户面保护密钥应该按照7.2.1节中
的描述产生,同时假设在MME中已经可以获得KASME。
在开始转移到ECM-CONNECTED 状态之前,如果ME没有可用的当前EPS NAS安全上下文,
并且USIM支持EMM参数存储并且存储在USIM上的本地EPS NAS安全上下文被标记为有效时,
ME应该获取存储在USIM中的本地EPS NAS安全上下文。如果USIM不支持EMM参数存储,并且
存储在ME内存中的本地EPS NAS安全上下文被标记为有效时,ME应该获取存储在内存中的
本地EPS NAS安全上下文。ME应该在获取存储的EPS NAS 安全上下文之后,导出KNASint 和
KNASenc。参见附件A中关于NAS密钥导出。重新获得的EPS NAS安全上下文以及推导出的KNASint
和KNASenc就成为当前EPS NAS安全上下文,如果当前EPS NAS安全上下文存在, 初的NAS消
息应当被它完整性保护;反之如果当前EPS NAS安全上下文不存在,ME应该在初始NAS消息
中标注上“no key available”。
KASME可以在MME中作为AKA运行的结果而获得,或者在切换或待机模式的移动过程中来
自于另一个MME的安全上下文传递过程。当eNB释放RRC连接之后,UE和eNB应该删除这些存
储的密钥,这样当UEs在网络中的ECM-IDLE状态时将只需要MME来维护。
7.2.7.2 无线承载机密性保护的密钥建立
UE用来建立无线承载加密保护的过程,是从UE向MME发送的一个(扩展)NAS业务请求
电话:82054513 http://www.ptsn.net.cn
29
消息或者具有激活标志集的TAU Request消息来启动的。
一收到NAS消息,如果在触发S1-AP过程INITIAL CONTEXT SETUP之前,MME不需要NAS
SMC过程。MME应按照A.3节的定义导出密钥KeNB,使用对应NAS 的NAS计数值,以及当前EPS
NAS安全上下文的KASME。MME进一步初始Next hop Chaining Counter(NCC)为0。MME进一
步推导下一跳参数NH,使用新推导得到的KeNB 和 KASME,做为推导的基础。MME应进一步设
置NCC的值为1. 这一对 新的h {NH, NCC=1}应保存在MME,并应被用于下一次的前向安全
密钥推导中。MME应在S1-AP 过程 INITIAL CONTEXT SETUP中与服务的eNB之间进行KeNB信
息交流。UE应从当前EPS NAS安全上下文中的KASME推导KeNB。
(扩展)NAS 服务请求或者TAU过程的结果是,无线承载建立,且eNB发送AS SMC给UE。
当UE收到AS SMC而没有收到NAS SMC,UE使用NAS消息中的NAS上行链路计数,触发AS SMC
做为在KeNB推导过程中更新的参数。使用当前EPS NAS安全上下文中的KASME,KDF来推导KeNB。
UE进一步根据新推导出KeNB 以及 KASME推导NH参数,MME推导过程同UE相同。从KeNB,RRC保护
密钥和用户面保护密钥由UE和eNB推导,如6.2节所述。
注:在 UE 中,当 NCC=1 时的 NH 参数推导能够被延迟直到第一次切换执行垂直密钥推导。
如果NAS建立无线承载过程包含EPS AKA运行(此过程为可选),对于新的KASME而言,NAS
上行链路和下行链路的计数值设置为初始值0。如果NAS建议无线承载过程包含NAS SMC(此
过程可选), 新的NAS安全模式完成消息中上行链路NAS 计数值为在从EPS安全上下文中
更新的KASME,推导KeNB的过程中使用的更新参数,当执行AS SMC。此种情况,使用KDF推导
KeNB。
7.2.7.3 ECM-CONNECTED 到 ECM-IDLE 的状态转移
从ECM-CONNECTED到ECM-IDLE状态转移过程中,eNB不再需要保存和UE相关的状态信
息。
尤其,从ECM-CONNECTED到ECM-IDLE的状态转移过程中,
⎯ eNB 和 UE 应释放所有无线承载并删除 AS 安全上下文;
⎯ MME 和 UE 应保存 EPS NAS 安全上下文,有如下的例外:根据 7.2.11 节中的方法 3,
4,8或 9,如果有一个新的和一个旧的 KASME,,那么 MME 和 UE 应删除旧的 KASME
和对应的 eKSI。 MME 一个概删除 NH 和 NCC。
如果USIM支持EMM参数存储,ME应更新存储在USIM上的EPS NAS安全上下文参数, KNASint
和 KNASenc除外。完整的本地EPS NAS安全上下文值,如果有一个,则标记存储在USIM上的EPS
NAS安全上下文有效。否则,ME更新EPS安全上下文参数,除了KNASint 和 KNASenc除外。在非挥
发性内存中,完整的本地EPS NAS安全上下文,如果有一个,标记存储在非易失性内存中
的NAS安全上下文为无效。
7.2.8 注册到 E-UTRAN 时 TAU 过程的密钥处理
在UE能够初始TAU过程之前,UE需要转移到ECM-CONNECTED状态。UE应使用当前的EPS
安全上下文来保护TAU Request,请求中包含对应的GUTI和eKSI值。应对TAU Request进行
完整性保护,无需机密性保护。UE应使用当前的EPS安全上下文算法来保护TAU Request
消息。对于MME中的安全上下文是非当前的情形,可采用6.4节的方法。
电话:82054513 http://www.ptsn.net.cn
30
如果在TAU请求中没有设置激活标志,TAU过程不会建立任何RRC和用户面级别的安全。
因为在此种情况下,没有必要产生任何KeNB,如果在TAU请求中设置激活标志,无线承载建
立应作为TAU请求的一部分。此种情况下,产生KeNB是必要的,且从UE发送给MME 的TAU请
求消息中的上行NAS序列号,是作为更新参数用于产生KeNB,使用KDF函数产生KeNB。TAU请求
应受到完整性保护。
AKA成功执行后,上行和下行链路上的NAS序列号应设置为初始值(例如0)。
当AKA成功运行时,源和目的MME使用不同的NAS算法,目标MME 以KASME新的算法标识作
为输入重新生成NAS密钥,且此新的算法标识从NAS SMC获得。UE应保证用来检验NAS SMC
的完整性的NAS密钥,使用由NAS SMC指定的算法标识来产生。
如果在TAU请求之后,AS SMC之前,有一个NAS安全上下文模式命令,UE和MME使用
近的NAS安全模式完成消息中的NAS计数(及上行链路NAS计数),且相关的KASME,做为推导
KeNB的参数。然后,根据KeNB推导出RRC加密密钥和用户面加密密钥。
7.2.9 切换过程中的密钥处理
7.2.9.1 概述
7.2.9.1.1 接入层的密钥处理
切换过程中的密钥处理通用原则如图11所示。
-
图11 切换密钥链模型
下文为密钥处理模型的概括性描述,具体规定参见7.2.9.2 and 7.2.9.3.。
当UE和eNB间需要建立初始的AS安全上下文时,MME和UE应推导出KeNB和下一跳参数
(NH),KeNB和NH根据KASME推导得到。每个KeNB与NH链计数(NCC)和NH参数相关联,每个KeNB
相关联的NCC对应着推衍该KeNB的NH值。初始建立过程中,KeNB直接由KASME推导得到,因此可
电话:82054513 http://www.ptsn.net.cn
31
以认为它与一个NCC值为零的虚拟NH关联。初始建立过程中推导出的NH值对应的NCC值为1。 注1:UE 中,NCC=1 对应的 NH 参数要在第一次执行纵向密钥推导的切换过程中使用。
无论MME发送KeNB还是发送{NH, NCC}给服务eNB(详见7.2.9.2、7.2.9.3),MME不应在
初始连接建立时发送NH值给eNB。 注2:由于MME在初始连接建立时不会发送NH值给eNB,与NCC=1关联的NH值不能用于下一次X2切换
或者下一次eNB内切换,这是因为在下一次X2切换或者下一次eNB内切换将执行水平密钥推导
过程(见图11)
注3:本报告7.2.9.3节中规定MME总是计算一对新的{NH, NCC}对而后发送给目标eNB。也就是说,
第一对{NH, NCC}(即NCC=1)从来不会用于推导KeNB。它仅作为NH链的一个初始值。
UE和eNB用KeNB来保护彼此之间的通信。切换时,UE和目标eNB间使用的KeNB的基础称为
KeNB*,由当前激活的KeNB或NH参数推导得出。如果KeNB
*是从当前激活的KeNB推导出来,则称之
为水平密钥推导(见图11),如果KeNB*是从NH参数中推导得出,则称之为垂直密钥推导(仅
图11)。采用垂直密钥推导进行切换时,NH和目标PCI及其频率EARFCN-DL一起推衍产生目
标eNB使用的KeNB。采用水平密钥推导进行切换时,当前激活KeNB和目标PCI及其频率
EARFCN-DL一起推衍产生目标eNB使用的KeNB。
由于NH参数仅能由UE和MME计算,因此MME应在前向安全有保障的条件下向eNB提供NH
参数。
7.2.9.1.2 非接入层的密钥处理
NAS层需要考虑一种情况,切换时可能发生MME改变,而NAS算法可能也会随之改变。
当eNB切换需重新定位MME时,源MME和目标MME有可能支持不同的NAS算法或者具有不同的
NAS算法使用优先级。在这种情况下,目标MME应以NAS算法标识作为NAS密钥推导函数的输
入,由KASME重新推导出NAS密钥(参见附录A)并发送NAS SMC。在密钥重推导中,除了NAS
算法标识,所有输入参数,尤其是KASME,都应保持不变。
如果目标MME确定使用与源MME不同的NAS算法,MME应发送一个包含eKSI的NAS SMC给
UE(eKSI采用新值还是当前值取决于AKA是否运行)。
以上NAS密钥和算法处理过程也适用于其他MME改变的情况,如TAU导致MME改变。 注:如何配置切换类型取决于运营商各自的策略。运营商可根据自己的安全需求,依据某一特定eNB
的安全特征来决定是采用X2切换还是S1切换。
7.2.9.2 上下文修改过程的密钥推导
每当MME根据KASME计算了一个更新的KeNB后,MME都应把KeNB经安全上下文修改消息发送给
服务eNB。同时,MME和UE还应根据KASME和此更新的KeNB计算出NH参数。然后将NCC=1和新KeNB
导出的NH参数关联,将NCC=0和KeNB关联。UE应采用和MME相同的方法计算出更新的KeNB和NH。
eNB和UE应根据新计算的KeNB计算临时KeNB*,并把KeNB
*用做当前KeNB(如7.2.10.2所述)。
注1:由于 MME 在 S1 UE CONTEXT MODIFICATION REQUEST 消息中没有发送 NH 值给 eNB,与 NCC=1
关联的 NH 值不能够用于下一次 X2 切换或者下一次 eNB 内部切换。下一次 X2 切换或者下一
次 eNB 内部切换应采用水平密钥推导。
注2:本报告 7.2.9.3 节规定 MME 总是要计算一对更新的{NH, NCC}对给目标 eNB。也就是说,第一
个{NH, NCC}对(即 NCC=1),从来不会用于推导 KeNB。它仅作为 NH 链的一个初始值。
注3:UE 中,NCC=1 对应的 NH 参数要在第一次执行纵向密钥推导的切换过程中使用。
7.2.9.3 切换过程中的密钥推导
电话:82054513 http://www.ptsn.net.cn
32
7.2.9.3.1 eNB 内部的切换时的密钥处理
当eNB决定执行eNB内部切换时,它应根据目标PCI,PCI对应的频率EARFCN-DL,以及
NH或者KeNB推导出KeNB*,其中采用NH还是KeNB的原则是:如果eNB有未使用的{NH, NCC}对,则
eNB应使用NH来推导出KeNB*(即垂直密钥推衍);否则eNB要用当前的KeNB推导出KeNB
*(即水
平密钥推导)。
切换后,eNB应把KeNB*做为KeNB来使用。eNB在HO命令消息中把用来推导KeNB
*的NCC发给UE。
7.2.9.3.2 X2 切换时的密钥处理
和eNB内部的切换一样,对于X2切换,如果源eNB有一个未用的{NH,NCC}对,源eNB应
执行垂直的密钥推导,源eNB首先应根据目标PCI,对应的频率EARFCN-DL,以及水平密钥
推导出的当前KeNB 或者垂直密钥推导出下的NH计算出KeNB*。
接着源eNB应转发{KeNB*, NCC}对给目标eNB。目标eNB应直接把接收到的KeNB
*用作与UE
之间共用的KeNB,并把来自源eNB的NCC值与KeNB相关联。目标eNB应把收到的NCC通过透明集
合的形式,在切换命令消息中返回给源eNB,然后源eNB再将之转发给UE。
当目标eNB完成切换信令后应发送S1路径切换请求给MME。收到S1路径切换请求后,MME
应将它本地保存的NCC值增加1,并根据KASME以及本地保存的NH值做为函数输入,计算一个
新的NH。然后MME在S1路径切换确认消息中发送新计算的{NH, NCC}对给目标eNB。目标eNB
应保存接收到的{NH, NCC}对,用于以后的切换过程,并删除其它保存的但未使用的{NH,
NCC}对。 注:因为路径切换消息是在无线链路切换后传送的,该消息只能为目标eNB提供下次切换过程所需
和密钥。因此,对于X2切换,由于源eNB知道目标eNB的密钥,密钥隔离只能发生在两跳后。
一旦在收到的S1 PATH SWITCH REQUEST ACKNOWLEDGE消息中含有新的NH,目标eNB应能够立即
发起一次小区内的切换以使新NH生效。
7.2.9.3.3 S1 切换时的密钥处理
当进行S1切换时,源eNB不应在S1切换请求消息中发送任何密钥给MME。
当收到切换请求消息后,源MME应将其本地存放的NCC值加1并根据它保存的数据计算
更新{NH, NCC}对,。源MME应保存新的{NH, NCC}对,并通过S10 FORWARD RELOCATION
REQUEST消息发送给目标MME。S10 FORWARD RELOCATION REQUEST消息还应包含用来计算当
前{NH, NCC}对的KASME和关联KASME的eKSI。
目标MME应在本地保存从源MME中收到的{NH, NCC}对,然后通过S1切换请求中把收到
的{NH, NCC}对发送给目标eNB。
从目标MME收到S1切换请求消息后,目标eNB应根据S1切换请求消息中的{NH, NCC}对、
目标PCI以及对应的频率EARFCN-DL来计算并更新KeNB。目标eNB应将从MME收到的NCC值与KeNB
关联。目标eNB应将收到的{NH, NCC}对中的NCC通过HO命令发送给UE,并且删除任何本地
保存但未使用的{NH, NCC}对。 注:在本节描述中源MME和目标MME可能是同一个MME。如果是这样,该单一MME同时承担源MME和目
标MME的功能,即MME计算并存储更新的{NH, NCC}对,并将其发送到目标eNB。
S1切换时,源eNB应把源小区使用的AS算法以透明方式发送到目标eNB。该AS算法被提
供给目标的eNB的目的是为了在可能的RRC连接重建立过程中,对SRB1上的RRC重建完成消
电话:82054513 http://www.ptsn.net.cn
33
息进行解密和完整性验证。
7.2.9.3.4 UE 的密钥处理
无论是S1切换、X2切换,还是eNB内部切换,UE的密钥处理都一样。
如果UE经源eNB接收到的来自目标eNB的HO命令消息中的NCC值与当前激活的KeNB相关
联的NCC值相同, UE应根据当前激活的KeNB、目标PCI和PCI的频率EARFCN-DL推导出KeNB*。
如果UE收到的NCC值与当前激活KeNB相关联的NCC值不同,UE应首先同步本地保存的NH
参数,方法是通过密钥推导函数反复计算(每次对本地保存的NCC值加1,直到与收到的NCC
值匹配为止)。匹配后,UE应根据同步后的NH参数以及目标PCI和其频率EARFCN-DL计算KeNB*。
当与目标eNB通信时,UE应把KeNB*做为KeNB使用。
7.2.10 动态(on-the fly)情况下的密钥更新
7.2.10.1 概述
注:当START达到 大值,会触发AKA过程,将重构整个EPS的密钥体系。在UMTS中,即使START达
到 大值,也要等到当前RRC连接切断以后,才能执行新的AKA认证。在EPS系统中,on the fly
指如果START达到 大值,无需切断RRC连接,可直接进行AKA认证。接入层密钥交换在基于小
区内部切换的过程中完成。在EPS系统中,下面的接入层在不切断RRC连接的情况下,是可以
进行密钥交换的:本地KeNB更新(当用户面或RRC计数器要达到 大值时执行),在AKA执行后,
重新产生KeNB。密钥刷新是重新进行AKA认证,所有密钥都改变,因此称为密钥刷新。密钥派
生是指仅KeNB改变,而KASME不发生改变。
On the fly情况下的密钥更新包括密钥刷新和密钥派生两部分。
KeNB , KRRCenc, KRRCint , 和KUPenc有可能发生密钥派生,当PDCP COUNT即将被相同的无线承
载标识和相同的KeNB再次使用时,该密钥派生过程应由eNB触发,此过程可参见7.2.10.3
KeNB 、KRRCenc、 KRRCint和KUPenc有可能发生密钥再生成。当需要激活一个与当前EPS AS安全
上下文不同的另一安全上下文时,该密钥再生成过程应由MME触发。该过程可参见7.2.10.2
KNASenc和KNASint有可能发生密钥再生成。当需要激活一个与当前EPS NAS安全上下文不同
的另一安全上下文时,密钥再生成过程应由MME触发。该过程可参见7.2.10.4
包括KASME在内的整个EPS密钥体系的再生成过程为:应首先完成KASME的密钥再生成,然
后是KNASenc 和 KNASint的再生成, 后是KeNB以及其派生的密钥的再生成。对于on the fly 情
况下的NAS密钥更新,NAS密钥的激活由NAS SMC过程来完成。
On the fly(动态)情况下的AS密钥更新是通过一个基于小区内部切换的过程完成的。
on the fly情况下的AS密钥更新有以下几种可能:本地KeNB派生(在PDCP COUNT计数器将
要溢出时执行);KeNB密钥刷新(在AKA成功后执行,或在执行UTRAN/GERAN切换后本地上下
文激活时执行)。
7.2.10.2 KeNB 刷新
根据9.2.2.1和10.3.2,MME在和UE成功的AKA认证后发起密钥刷新的过程,从而部分
激活一个本地EPS安全上下文,或者是从UTRAN/GERAN切换到E-UTRAN后重激活一个非当前
的完整本地EPS安全上下文。
在和UE成功完成AKA认证后,如果密钥刷新的过程由MME触发,MME应使用附录A.3中定
义的密钥推导功能推导出新的KeNB,该函数使用新的KASME和NAS安全模式完成消息中的NAS
电话:82054513 http://www.ptsn.net.cn
34
COUNT做为输入参数。NAS SMC成功完成后,KeNB应通过S1-AP接口的 UE CONTEXT
MODIFICATION REQUEST请求消息中 被发送给eNB,此消息触发eNB执行密钥再生成。eNB
和UE同时执行on the fly情况下的密钥更新过程。在这个过程中,eNB向UE指示on the fly
情况下的密钥更新即将发生。此过程基于小区内交换,因此应采用与正常切换过程中相同
的KeNB推导步骤。
当UE收到on the fly情况下的密钥更新指示时,UE应使用当前的EPS NAS安全上下文
中的KASME做为推导KeNB的基础。
注:为了执行整个密钥体系在 on the fly 下的密钥更新,MME 应在更新 EPS AS 安全上下文之前
更新 EPS NAS 安全上下文。
如果UE确定eKSI已经改变,UE应推使用附录A.3中定义的密钥推导功能导出一个临时
的KeNB,以NAS Security Mode Complete(安全模式完成)消息中的NAS COUNT和新的KASME
作为输入(参见附录A)。UE应根据临时的KeNB推导出KeNB*(参见附录A)。eNB应使用来自MME
的KeNB(与临时KeNB相同)作为推导其KeNB*的基础,从此步之后,密钥推导按照通常切换过程
中的步骤继续进行。
如果AS层的密钥再生成失败,那么MME应在触发一个新的AS层密钥再生成过程之前,
先完成一个NAS安全模式过程。这样做可以确保使用的KeNB是新生成的。
从GERAN/UTRAN切换到E-UTRAN之后,如果密钥再生成过程由MME发起,用以重激活一
个非当前的完整本地EPS安全上下文,应采用和上面相同的过程。
NH参数应根据下列规则来处理:
a) 在上下文修改完成之前(即在 UE 发出 RRC Connection Reconfiguration Complete
之前,在 MME 收到 UE CONTEXT MODIFICATION RESPONSE 之前),UE 和 MME 应使
用由旧 KASME 推导得到的 NH。特别是,在上下文修改完成之前,MME 应在 S1AP
接口的 HANDOVER RESOURCE ALLOCATION、S10 FORWARD RELOCATION 和 S1AP PATH
SWITCH REQUEST ACKNOWLEDGE 消息中发送从旧 KASME 推导得到的 NH。
b) 一旦上下文修改完成后,eNB 应删除任何以前的 NH 参数。
c) 一旦上下文修改完成后,UE 和 MME 应删除以前旧的 NH 参数。UE 和 MME 应从新的
KeNB和 KASME 推导任何新的 NH 参数(根据附录 A)。
7.2.10.3 KeNB 派生
此过程基于小区内切换。在切换过程中得到的KeNB链是为了确保对应RRC和UP计数的
KeNB是被再次更新的。
7.2.10.4 NAS 密钥刷新
AKA过程执行后,应根据附录A.6由新的KASME推导出新的NAS密钥,。
为了在从GERAN/UTRAN切换到E-UTRAN后(参考9.2.2步骤7)再激活一个非当前的完整
本地EPS安全上下文,UE和MME应通过运行一个NAS SMC过程(根据7.2.4.5)来使用NAS密
钥。
在当前安全上下文中NAS上行链路或下行链路计数器即将回卷时,MME应通过运行一个
EPS AKA过程来激活新的NAS密钥,或者用一个值足够低的NAS计数值来激活本地安全上下
电话:82054513 http://www.ptsn.net.cn
35
文。
7.2.11 对并行安全进程的执行规则
在某些情况下,并行的安全过程可能会导致网络和UE之间的安全上下文无法匹配。
为了避免这种不匹配的情况,应遵守以下规则:
如果UE正在执行NAS SMC过程,MME不应向UE发起任何包括给UE新KeNB的S1过程(如
Initial Context Setup或UE Context Modification)。
如果UE上正在运行一个包含新KeNB 的S1过程(如Initial Context Setup or UE Context
Modification),MME不应向UE发起NAS SMC。
当UE对已建立的无线承载进行了安全保护,并且MME为了使用一个新的KASME,已经发起
了一个NAS SMC过程,MME应在HANDOVER REQUEST或者PATH SWITCH REQUEST ACKNOWLEDGE
消息中继续使用从旧KASME得到的AS安全上下文参数,直到MME通过UE Context Modification
过程开始使用从新KASME推导出的KeNB。
当UE对已建立的无线承载进行了安全保护,并且收到 NAS SMC消息以使用新的KASME,
UE应在切换中继续使用从旧KASME得到的AS安全上下文参数,直到网络侧在RRC Connection
Reconfiguration过程中指示使用从新KASME推导出的KeNB。
当eNB已经发起一个eNB间切换,但是还没有结束时,源eNB应拒绝S1 UE上下文修改请
求。当一个由UE上下文修改过程触发的RRC 连接重配置过程正在进行时,源eNB应在发起
其它切换过程之前等待此过程完成。
当MME已经发起了一个NAS SMC过程以使用新的KASME,并从服务eNB处接收到MME间或RAT
间切换请求时,MME应在发送S10 FORWARD RELOCATION消息或发起RAT间切换之前,等待NAS
SMC完成。
当MME已经发起了一个UE上下文修改过程以使用新的KeNB,并从服务eNB处接收到MME间
切换的请求时,MME应在发送S10 FORWARD RELOCATION消息之前,等待UE上下文修改过程
完成(成功或者不成功)。
当MME已经成功的执行了启用了新KASME的NAS SMC过程,但是没有成功执行启用了新KeNB
的UE上下文修改过程时。MME应在S10 FORWARD RELOCATION 消息中加入旧KASME和相应的
eKSI,NH,NCC,以及由新KASME得到的完整EPS NAS安全上下文。
当MME收到S10 FORWARD RELOCATION消息,其中包括旧KASME和相对应的eKSI,NH,NCC,
和由新KASME得到的完整的EPS NAS安全上下文时,MME应在NAS过程中使用新KASME,但是应继
续在HANDOVER REQUEST或者PATH SWITCH REQUEST ACKNOWLEDGE消息中使用由旧KASME产生的
AS安全上下文参数,直到UE上下文修改过程完成,此过程使用由新KASME推导得到的KeNB。
MME间切换时,一旦源MME已经发送S10 FORWARD RELOCATION消息到目标MME,它将不
再发送任何下行NAS消息给UE,除非它知道切换已经失败或取消。
7.3 用户面数据安全机制
UE和eNB间的用户面数据加密由PDCP层实现,参见TS36.323 [10]。
128-EFA算法的使用和操作模型参见附录B。
电话:82054513 http://www.ptsn.net.cn
36
按照附录B的规定,128位EFA算法的输入参数,包括一个作为KEY的128位的加密密钥
KUPenc ,一个5位的承载标识BEARER(其取值参见TS36.322),1位的传输方向DIRECTION,密
钥流长度LENGTH,和一个与承载相关,依赖于时间和方向的32比特的输入计数COUNT(即
32位的PDCP COUNT)。
7.4 RRC 安全机制
7.4.1 RRC 完整性保护机制
UE和eNB之间RRC完整性保护由PDCP层实现,PDCP层以下各层不再提供完整性保护。完
整性保护激活后就可以实现“重放保护”(Replay protection)(完整性保护算法为EIA0
时除外),“重放保护”保证对于同一个AS安全上下文,接收方只接受对应某一特定PDPC
COUNT值的信息。附录B介绍了128-EIA算法的使用和操作方法。
按照附录B的规定,128位EFA算法的输入参数包括一个作为KEY的128位的加密密钥
KRRCint,一个5位的承载标识BEARER(其取值参见TS 36.323 [10]),1位的传输方向DIRECTION,
和一个与承载相关,依赖于时间和方向的32比特的输入计数COUNT(即32位的PDCP COUNT)。
ME和eNB应同时对RRC完整性检查失败进行监管。在完整性保护开始之后,如果完整性
检查失败(即MAC-I不完整或缺失),相关消息应被丢弃。这种情况在eNB和ME侧都可能发
生。 注:上述文字并不是说相关消息是被默默的丢弃的。实际上,TS 36.331 [16]中规定了当检测到
RRC完整性检查失败,UE应触发一个恢复过程。当完整性检查失败的原因不是上下文不匹配(如
密钥或者HFN不匹配),执行恢复过程会给系统增加不必要的负担。但是,在UE没有可靠的检
测完整性失败原因的途径时,且可识别的主动攻击导致的结果仅限于非持续性DOS攻击的影响,因此恢
复步骤被授予了优先级,允许从上下文不匹配造成的死锁的恢复。
7.4.2 RRC 加密机制
RRC加密保护由UE和eNB间的PDCP层提供。
128-EIA算法的使用和操作模型参见附录B。
按照附录B规定,128位EFA算法的输入参数包括一个作为KEY的128位的加密密钥KRRCenc,
一个5位的承载标识BEARER(对应于无线承载标识),1位的传输方向DIRECTION,密钥流长
度LENGTH,和一个与承载相关,依赖于时间和方向的32比特的输入计数COUNT(即32位的
PDCP COUNT)。
7.4.3 RRC 连接重建立过程中 KeNB*和令牌准备
在切换准备过程中KeNB*和令牌计算是与小区相关而不是与eNB相关。在可能的RRC连接
重建立过程中(如切换失败),UE可选择一个不同于目标小区的另一小区以发起一个重建
过程。当UE选择向目标eNB控制下另一个小区做切换准备时,为保证UE RRC连接的重建立
成功,服务eNB可以为目标eNB控制下的多个小区准备多个KeNB*和令牌。服务eNB也可为自己
所属的小区做准备。
为这些小区所做的准备包括:向目标eNB发送安全上下文(包含为每个预备小区计算
的KeNB*和令牌以及相应的NCC,UE EPS的安全能力,和源小区计算令牌所使用的安全算法)。
源eNB按照附录A的描述,从对应的目标小区物理标识ID和频率EARFCN-DL推导出KeNB*。
电话:82054513 http://www.ptsn.net.cn
37
为了计算令牌,源eNB应使用AS安全上下文中的协商EIA算法,并使用以下输入参数:
TS36.331 [16]中VarShortMAC-Input定义的源C-RNTI,源PCI,和目标Cell-ID,其中源
C-RNTI,源PCI与和UE上次共享有效RRC连接的小区相关联,目标cell ID是接收RRC连接重
建立请求的目标小区的身份标识,这里:
a) KEY 被设置为源小区的 KRRCint ;
b) 所有 BEARER 比特位设置为 1;
c) DIRECTION 比特位设置为 1;
d) 所有 COUNT 比特位设置为 1。
令牌应是所使用的完整性算法输出值的 低有效位的16比特。
为了避免在切换或重建连接发生故障时UE无法执行RRC重建过程情况的发生,UE应保
留源小区中使用的KeNB,直到UE切换或连接重建成功结束,或者直到UE因其他规则(如转
换到ECM-IDLE状态)删除了KeNB。
对于X2切换,目标eNB应使用收到的多个KeNB*。但是对于S1切换,目标eNB应丢弃从源
eNB收到的多个KeNB*,然后为了前向安全目的,根据从MME收到的更新{NH, NCC}对来推导出
KeNB*。
当一个RRC连接重建请求由UE发起,RRC连接重建请求应包含与UE尝试重新连接的小区
相对应的令牌。这个消息通过SRB0来传输,因而没有完整性保护。
如果令牌有效,收到RRC连接重建请求的目标eNB应返回一个RRC连接重建立响应消息,
其中包含在准备阶段收到的NCC。否则,目标eNB应返回RRC连接重建拒绝消息。RRC连接重
建请求和RRC连接重建拒绝消息也通过SRB0发送,因此不受到完整性保护。接下来目标eNB
和UE执行如下过程:如果收到的NCC值不同于当前UE保存的NCC值,UE首先同步本地保存的
NH参数(参见附录A.4中的定义)。然后UE基于所选择的小区物理cell ID和其频率
EARFCN-DL推导出KeNB*。UE应使用这个KeNB
*作为KeNB。eNB使用与所选小区对应的KeNB
*作为KeNB,
然后UE和eNB由KeNB推导和激活密钥用于完整性保护和验证。AS算法(加密和完整性算法)
是在源eNB做切换准备过程期间获得的。即使源eNB中使用的AS算法与目标eNB本地算法优
先级列表不匹配,源eNB选择的AS算法在执行RRC建立重建过程中具有优先权。目标eNB和
UE在RRC建立重建过程之后,应基于本地优先级算法更新选择的AS算法和AS密钥。 注:如 果 目 标 eNB 不 支 持 源 eNB 传 送 的 AS 算 法 , 目 标 eNB 将 不 能 在 SRB1 上 对
RRCReestablishmentComplete消息进行解密或完整性验证。结果导致RRC连接重建过程失败。
UE应通过SRB1响应一个RRC连接重建完成消息,该消息使用新的密钥进行完整性保护
和加密保护。用于重建剩余无线承载的RRC连接重配置过程的消息都需要进行完整性保护
和加密。
7.5 周期性本地认证的信令流程
eNB可选执行下面的周期性本地认证过程。同时,eNB和UE还应周期性地检测AS连接过
程中发送的上下行数据流量。UE接收到计数检查请求后应返回计数检测响应消息。 电话:82054513 http://www.ptsn.net.cn
38
eNB监控与每个无线承载相关联的PDCP计数值。只要其中有任何一值达到了临界检测
值,就会触发此过程。检测值粒度和检测值本身由被访问网络所定义。此过程中所有消息
都应受到完整性保护。
-
UE eNB
1. Counter Check
2. Counter Check Response
3. Optionally release connection or report to MME or O&M server
图12 eNB 周期性本地认证过程
a) 当到达某一检测值时(如超帧号中某固定位的值改变),eNB 应发送计数检测消
息,其中包含每个被激活无线承载的 PDCP 计数值的 高位部分(该值反映发送和
接收的数据量)
b) UE 比较从计数检测消息中接收到的 PDCP 计数值是否与其无线承载中的值相同,
不同的 UE PDCP 计数值应包含在计数检测响应消息中返回。
c) 如果eNB接收到一个不包含任何PDCP计数值的计数检测响应消息,则终止该过程。
如果 eNB 接收到的计数检测响应消息中包含一个或多个 PDCP 计数值,eNB 可以释
放连接,或者向服务 MME 或管理服务器报告 PDCP 计数值的差异,用于进一步流量
分析,如检测攻击者。
8 NAS 信令的安全机制
8.1 NAS 完整性机制
NAS信令消息的完整性保护应作为NAS协议的一部分来提供。
8.1.1 NAS 输入参数和机制
NAS 128位完整性算法的输入参数包含有:作为KEY的一个128位完整性密钥 KNASint;一
个5位的固定值为0x00承载标识BEARER;传输方向DIRECTION;以及一个与具体承载相关的、
且依赖于时间和方向的32位COUNT输入,其中COUNT的构建方式如下:
COUNT := 0x00 || NAS OVERFLOW || NAS SQN
其中:
a) 左面 8位是 0的填充位;
b) NAS OVERFLOW 是一个 16 位的值,该值在每次 NAS SQN 溢出 大值的时候会递增;
c) NAS SQN 是一个 8位的序列号,携带在每个 NAS 消息中。 注:承载标识BEARER字并不是必要的,因为对于每一对MME和UE来说只有一个NAS信令连接,但它
电话:82054513 http://www.ptsn.net.cn
39
作为一个固定值的输入参数,因此能保证AS和NAS消息中的输入参数一致,从而简化了规范制
定和实施工作。
128位完整性算法的使用和操作模式参见附录B。
ME和MME应同时执行失败的NAS完整性检查。如果在NAS完整性保护开始后发现有失败
的完整性检测(例如NAS-MAC错误或者缺失),则除了在TS 24.301[9]中所指定的一些NAS
消息以外,其它相关消息应被丢弃。对于某些特殊情况,即当MME接收到一个有错误或者
缺失NAS-MAC的NAS消息时,应采取在TS 24.301[9]中规定的操作,既可以由MME也可以由
ME来丢弃相关的NAS消息。
8.1.2 NAS 完整性激活
成功认证后,或从UTRAN/GERANE切换至E-UTRAN后,NAS完整性保护应通过NAS SMC过
程立即激活。完整性保护激活后就可以实现“重放保护”(Replay protection)(但完整
性保护算法为附录B的EIA0时除外),“重放保护”保证在同一个NAS安全上下文中接收者只
承认唯一一个NAS COUNT值。一旦NAS完整性保护被激活,UE或MME不应再接收无完整性保
护的NAS消息。在NAS完整性保护被激活前,UE或MME只能在TS 24.301 [9]中描述的某些无
法采用完整性保护的特定情况下接收无完整性保护的NAS消息。虽然UE有时需要接收某些
无完整性保护的NAS消息(如拒绝消息),但MME只有在NAS安全机制启用后才能发送用于修
改UE上CSG名单的拒绝消息,因此UE应丢弃任何无完整性保护的修改CSG名单的消息。
NAS完整性保护将一直保持激活状态,直到UE或MME上的EPS安全上下文被删除为止。
尤其是NAS服务请求应始终受到完整性保护,而且当UE处于EMM-DEREGISTERED状态但EPS
安全上下文未被删除时,NAS附着请求消息应受到完整性保护。NAS-MAC的长度是32位。除
了NAS服务请求,整个NAS-MAC应被附加到所有完整性保护消息后面。对于NAS服务请求消
息,只需在消息后附加32位NAS-MAC中的 低16位。。
128-EIA算法的使用和操作模式参见附录B。
8.2 NAS 保密性机制
NAS加密算法的输入参数应和8.1章节中描述的NAS完整性保护算法的输入参数保持一
致,在使用不同的密钥KNASenc ,时,这是一个例外。另外还有一个额外的输入参数,即密钥
流长度,由加密算法产生。
128 位加密算法的使用和操作模式参见附录 B。
9 E-UTRAN 与 UTRAN 间互操作安全
9.1 RAU 和 TAU 过程
9.1.1 UTRAN 中的 RAU 过程
本子章节内容包括空闲模式下从E-UTRAN到 UTRAN的移动过程和空闲模式的信令缩
减,即ISR,此部分在TS 23.401[2]中定义。 注1:如 TS 23.401[2]所描述,在某些场景下,一个有效 P-TMSI,或从一个有效 GUTI (“映射 GUTI”)
映射得到的一个有效 P-TMSI 被插入到路由区更新消息(Routing Area Update Request) 的”old P-TMSI”信息单元。路由区更新过程完成后使用哪个安全上下文将取决于该旧的P-TMSI。
电话:82054513 http://www.ptsn.net.cn
40
现有UMTS 安全上下文的使用
如果UE发送包含带一有效P-TMSI的”old P-TMSI”信息单元的RAU请求,则该请求也
应包括与该P-TMSI相关的KSI。该KSI和存储在UE中的当前UMTS安全上下文相关联,并需告
知SGSN。在此情况下,如果原来的SGSN分发了一个P-TMSI签名,则UE应在RAU请求中包括
该P-TMSI签名。如果在网络并没有与该KSI相关联的有效安全上下文,则应运行AKA。当一
个SGSN发生更换时,来自于原先(旧的)SGSN的密钥应替换为当前SGSN中的密钥。 注2:如果 UE 有一个有效的 UMTS 安全上下文, 那么按照 TS 33.102[4]定义, 此安全上下文存
储在 USIM 中。
EPS安全上下文到UMTS安全上下文的映射
如果UE发送包含带有映射GUTI的"old P-TMSI"信息单元的RAU请求,则该请求应同时
包括与当前EPS安全上下文相关联的eKSI值相等的KSI。UE应在P-TMSI签名IE中包括一个截
断的NAS-token(在本章节下面部分定义)。MME应在发送给SGSN的Context Response/SGSN
Context Response消息中包含UE的UTRAN和GERAN安全能力,以及与KSI相关的CK'||IK',
此KSI的值和当前EPS安全上下文相关联eKSI的值相等。MME和UE应按照附录A根据KASME和NAS
上行链路COUNT值推导CK'和IK',NAS上行链路COUNT值对应于MME从SGSN接收到的截断的
NAS-token。来自MME的密钥CK'、IK'和KSI既要取代所有目标SGSN中的UTRAN PS密钥参数
CK、IK和KSI,也要取代USIM和ME中所有当前保存的UTRAN PS密钥参数CK、IK和KSI值。
STARTPS值设置规则应参照3GPP TS 25.331[19],在RRC连接建立以前UE可以置STARTPS为0 。
ME用CK’、IK’'、和c3算法(参见3GPP TS33.102[4]协议)产生GPRS Kc。ME将eKSI
值(与CK’和IK’相对应)设置为GPRS 的CKSN。ME用新的GPRS Kc和GPRS CKSN更新USIK
卡和ME的相关密钥。 注3:为用新推导的安全上下文取代 USIM 上存储的旧安全上下文而(包含 CK’、IK’ )允许在
后续的连接建立时不启动认证过程就重用推导得到的安全上下文,并且避免由于一个 KSI
表示两个不同密钥集合引发的安全上下文的不同步。
注4: 如果运营商对来自其他运营商的密钥的安全有疑虑,可以强制 SGSN 在运行一个空闲模式的
移动过程之后快运行一个 UMTS AKA。例如,在空闲模式的移动过程完成之后就删除 SGSN 中
的映射 UMTS 安全上下文。
注5:由于在 USIM 卡和 ME 中,用 CK’、IK’和 eKSI 替换了所有的 UTRAN PS 密钥参数
CK、IK 和 KSI,所以需要用新的 UTRAN PS 密钥 CK 和 IK(即 CK’和 IK’)推导出新的 GPRS
Kc 参数,它也是新的 UMTS 安全上下文的一部分,因为存储在 USIM 卡和 UE 上的旧的 GPRS Kc
属于旧的 UMTS 安全上下文,已不再使用。
SGSN应把允许使用的安全算法发送给给RNC,应向UE发送一个包括指定算法的SMC。
P-TMSI 签名域的第X位(至少16位)应由截断的NAS-token来填充,所截断部分为
NAS-token的 低x位。
NAS-token的推导参见附录A.8。UE应使用下个NAS消息将采用的NAS上行链路COUNT值
来计算NAS-token,并把其存储的NAS上行链路COUNT值按1递增。
为能在上下文中识别UE,SGSN应将包括截断NAS-token的P-TMSI签名转发到先前的
MME,先前MME把接收到的截断的NAS-token和本地产生的NAS-token按比特位作对照比较。
如果比较结果一致,则上下文请求消息认证授权成功,并且MME应向SGSN提供所需要的信
息。如果比较结果不一致,那么先前MME应返回一个适当的错误原因,从而启动新SGSN中
电话:82054513 http://www.ptsn.net.cn
41
的安全功能。
为避免可能的竞争情况,MME应把接收到的截断的NAS-token和从当前的NAS上行链路
COUNT值到当前的NAS上行链路COUNT+L值所产生的各NAS-token的 低x位进行比较,即区
间值[当前的NAS上行链路COUNT,当前的NAS上行链路COUNT+L]。参数L值由运营商自行配
置。除了同一移动事件中的重传情况外,MME不允许某一UE重复使用NAS-token。一旦MME
发现匹配值,MME应把其存储的NAS上行链路COUNT值设置为该匹配值,表明其已成功接收
到该匹配NAS上行链路COUNT值所对应的受完整性保护的NAS消息。
9.1.2 E-UTRAN 中的 TAU 过程
本节涵盖了两部分的情形,即空闲模式下从UTRAN到E-UTRAN的移动过程,以及空闲模
式下的信令缩减,即ISR(见TS 23.401[2])。
TAU请求和ATTACH请求消息应包含UE的安全能力。MME应存储这些UE安全能力以备将来
使用。MME不应使用任何来自SGSN的UE安全能力。 注1:TS 23.401[2]描述了有效 GUTI 或从有效 P-TMSI 映射得到的 GUTI 在什么情况下插入 TAU 请
求消息的“old GUTI”IE 中。“old GUTI”IE 中的值告知 MME 应从哪个 SGSN/MME 获取 UE 上
下文。
情形1:TAU请求消息中的“old GUTI” IE没有包含P-TMSI。
该情形的操作要求同7.2.8的规定。
情形2:TAU请求消息中的“old GUTI” IE包含映射P-TMSI。
UE应在TAU请求消息中包含以下参数:
a) 用于正确指示源 SGSN 和密钥集的 KSI 和对应的 P-TMSI 及旧的 RAI。这样当 UE 和
网络没有可用的当前 EPS NAS 安全上下文时,UE 和 MME 可依据这些参数产生映射
的 EPS NAS 安全上下文。KSI 应对应 近生成的密钥集合(生成的密钥既可以来
自于UTRAN网络中一个成功的 UMTS AKA运行(这些密钥也许已被 UE和 SGSN使用,
也许还未被使用),也可以来自于上次拜访 UTRAN 时从 EPS NAS 安全上下文中映
射得到的 UMTS 安全上下文)。
b) P-TMSI 签名(若 UE 先前连接的 UTRAN 网络中 SGSN 已给 UE 配置了 P-TMSI 签名)
c) 32bit NONCEUE(NONCEUE的随机性要求见参数规范部分 A.10)
如果UE有当前EPS NAS安全上下文,UE应在TAU请求消息中包含对应的GUTI值和eKSI
值。TAU请求消息应该进行完整性保护,但是不被机密性保护。UE应使用当前EPS NAS安全
上下文中的算法对TAU请求消息进行完整性保护。 注2:当前 EPS NAS 安全上下文可以是映射得到的,此时 eKSI 为"KSISGSN"类型。KSISGSN 的值
可能不同于对应 近在 UTRAN 生成的密钥集的 KSI,因为在 KSISGSN 指示的当前映射 EPS
NAS 安全上下文产生后,UTRAN 网络可能又发生了 UMTS AKA 认证。
注3:UE 在如下场景中会有当前 EPS NAS 安全上下文:UE 在上次 EPS 访问中已建立了一个当前
EPS NAS 安全上下文,随后即从 E-UTRAN 移动到 UTRAN/GERAN 并保存了当前 EPS NAS 安全
上下文。当 UE 返回 E-UTRAN 时,UE 就已经拥有了保存的当前 EPS NAS 安全上下文。
如果UE上没有当前EPS NAS安全上下文,UE应发送未经安全保护的TAU请求消息。
当MME从UE接收到一个P-TMSI签名,MME应在发送给SGSN的上下文请求消息中包含该
P-TMSI签名。 SGSN在Context Response/SGSN Context Response消息中传送CK||IK给MME。
电话:82054513 http://www.ptsn.net.cn
42
MME从CK||IK中推导出K'ASME (见安全参数规范部分)。如果在Context Response/SGSN
Context Respons中的MM上下文显示了GSM安全模式,则MME应退出该过程。
如果TAU请求消息受安全保护且MME拥有当前EPS NAS安全上下文,MME应对TAU请求消
息进行验证。如果验证成功,UE和MME即共享该当前EPS NAS安全上下文。如果TAU请求消
息中设置了活动标志,或者有挂起的下行用户数据,应按7.2.8描述推导产生KeNB。
如果MME要改变算法,应发起一个NAS安全模式过程(见7.2.4.4)。
如果MME没有TAU请求中UE的eKSI所指示的EPS NAS安全上下文,或者收到的TAU请求未
经保护,MME应产生一个新的映射EPS NAS安全上下文(将成为当前EPS NAS安全上下文)。
在此情况下,MME应生成一个32位的NONCEMME (NONCEMME的随机性要求参见安全参数规范部
分附录A.9),和接收到的NONCEUE一起使用,从CK和IK来生成一个新的映射的K'ASME,这里的
CK和IK是由TAU请求中的KSI和P-TMSI所指定的。可参考安全参数规范部分附录A.10关于如
何推导出新的K'ASME的相关信息。MME按照7.2.4.4的描述发起一个NAS SMC过程,向UE发送
NAS SMC消息,其中包括KSISGSN、NONCEUE和NONCEMME。当UE和MME需生成新的映射的EPS NAS
安全上下文时,用于生成映射EPS NAS安全上下文的上行和下行NAS COUNT应置为初始值(即
零)。
如果TAU请求中包含活动标志设置,或者有挂起的下行用户面数据,应将上行NAS
Count置0,MME和UE应使用该上行NAS Count来推导KeNB。MME应通过S1接口向目标eNB发送
KeNB。
TAU接受消息应使用当前EPS NAS安全上下文进行保护。
9.2 切换
9.2.1 从 E-UTRAN 切换到 UTRAN
NAS和AS安全应总是在E-UTRAN切换到UTRAN发生前被激活。因此,在切换过程中,源
系统应向目标系统发送密钥集。目标PLMN的安全策略决定UTRAN HO命令中所使用的指定安
全算法。
MME应在切换中选用当前NAS下行链路COUNT值,然后将其存储的NAS下行链路COUNT值
按1递增。
注1:NAS 下行链路 COUNT 值按 1 递增的目的是保证使用的 NAS downlink COUNT 每次都不同,并
可用于其他目的。
按照附录A的单向密钥推衍功能KDF,UE和MME应根据KASME和当前EPS密钥安全上下文中
选择的NAS下行COUNT值推导出加密密钥CK’和完整性密钥IK’。
应根据TS 25.331[19]中定义的向UTRAN切换的原则来决定从E-UTRAN切换到UTRAN后
是否需考虑UTRAN PS密钥加密。
UE和MME应给KSI分发eKSI的值。MME应向SGSN发送KSI及其对应的CK'||IK'。CK’和
IK’。如果目标SGSN中存在CK,IK和KSI,那么应由来自MME的CK’,IK’和KSI替换该CK,
IK和KSI。如果UE中存在CK,IK和KSI,那么应由ME和USIM中的CK’,IK’和KSI替换该CK,
IK和KSI。STARTPS值应遵循3GPP TS 25.331 [19]的规定。密钥推衍功能KDF的定义参见附
录A。ME将用CK’、IK’和c3算法导出GPRS Kc,c3算法参见3GPP TS33.102[4],并将eKSI
电话:82054513 http://www.ptsn.net.cn
43
(对应CK’和IK’)设置为GPRS的CKSN,ME用GPRS Kc和GPRS CKSN值更新USIM卡和ME的相
应参数。 注2:为取代 USIM 和 ME 上旧安全上下文而推导得到的新映射 UMTS 安全上下文(包含 CK’, 和 IK’)
允许在后续的连接建立时不启动认证过程就重用推导得到该新映射 UMTS 安全上下文,同时
也能避免由于一个 KSI 相关联的两个不同密钥集引发的 UMTS 安全上下文的不同步。
注3:若一个运营商关注从另外一个运营商的 E-UTRAN 得到的密钥的安全性,其可能要在 SGSN 中
制定一个规则,即在切换之后尽可能立即运行一个 UMTS AKA。确保安全性的一个例子是在
UE 离开 UMTS 激活状态之后就删除 SGSN 中映射的 UMTS 安全上下文。
注4:由于 USIM 卡和 ME 上所有的 UTRAN PS 密钥参数 CK、IK 和 KSI 被 CK’、IK 和’eKSI 代替,新
的 GPRS Kc 需要用新的 CK 和 IK(即 CK’和 IK’)导出,它是新的 UMTS 安全上下文的一部分,
因为 USIM 卡和 ME 上旧的 Kc 属于旧的 UMTS 安全上下文,已不再使用。
从E-UTRAN切换到UTRAN后,UE和MME应把当前EPS NAS安全上下文(若有)视为E-UTRAN
网络中的当前上下文。
MME应向源eNB提供所选NAS下行COUNT值的 低4位(LSB),然后eNB应通过
MobilityFromE-UTRAN命令将这4位下发给UE。UE应用该接收到 低4位和其保存的NAS下行
COUNT值来估算MME确定的NAS下行COUNT值。 注5:如何估算 NAS 下行 COUNT 值视具体实施而定。
UE应确保估算得到的NAS下行COUNT值没有参与前次用于PS或SRVCC切换(不管成功或
失败)的CK’和IK’的计算。如果估算得到的NAS下行COUNT值大于UE在切换过程中用于推
衍密钥的估算NAS下行COUNT值,或大于从经完整性验证的NAS消息中接收到的NAS下行
COUNT值,UE应更新其保存的NAS下行COUNT值,即相当于UE用该估算得到的NAS下行COUNT
值成功地验证了NAS消息的完整性。尤其要注意的是,其保存的NAS下行COUNT值永远不应
被降低。
MME应向SGSN发送UE安全能力。目标系统的算法选择过程见TS33.102 [4]中对UTRAN
的描述。
如果切换没有成功,新的已映射的UMTS安全上下文以后就不能使用。SGSN应删除新的
已映射的UMTS安全上下文和已存储的UMTS安全上下文,因为二者有相同的KSI。
9.2.2 从 UTRAN 切换到 E-UTRAN
9.2.2.1 流程
UTRAN到E-UTRAN的安全相关的切换过程分以下2个连续步骤:
a) 切换信令使用映射的 EPS 安全上下文(见图 13);
b) 后续的 NAS 信令决定是否使用本地 EPS 安全上下文(未在图中标明)。
在E-UTRAN中激活非接入层和接入层的安全,以及从源系统中选择用于切换的密钥集,
应遵循如下的原则:
a) 如 TS 33.102 [4]中描述的 SGSN 间的分组域切换过程,源 SGSN 应选择 近产生
的密钥集(生成的密钥既可以来自于 UTRAN 网络中一个成功的 UMTS AKA 运行(这
些密钥也许已被UE和 SGSN使用,也许还未被使用),也可以来自于上次拜访UTRAN
时从 EPS NAS 安全上下文中映射得到的 UMTS 安全上下文),并通过前向重定位请
求(Forward Relocation Request)命令把密钥集发送给 MME。
电话:82054513 http://www.ptsn.net.cn
44
注1:在 Gn/Gp 接口情况下,MME 被看作一个目标 SGSN。
b) 激活接入层的安全(详见 TS36.331 [16])
UE 侧接收到的 E-UTRAN HO 命令应激活接入层的安全。
eNB 侧接收到的 HO Complete 命令应激活接入层的安全。
c) 激活非接入层的安全(详见 TS24.301[9])
UE 侧接收到的 E-UTRAN HO 命令应激活非接入层的安全。
MME 侧接收到的 HO Notify 命令应激活非接入层的安全。假如 MME 没有保存前次
访问获得的 UE 安全能力,在通过 TAU 请求过程成功验证 UE 安全能力前,除了 TAU 请
求,MME 不允许发送或接收其它的非接入层消息。
d) 应根据目标 PLMN 的策略来选择接入层和非接入层的加密和完整性保护算法。
即使在源系统中没有激活加密过程,以上4个原则总会在E-UTRAN中激活加密过程(可
能是无加密)。
成功切换时的切换信令
在为一个UE准备切换之前,源RNC可以检查UE是否经过UMTS AKA认证。如果UE没有经
过UMTS AKA认证并且不是在进行紧急呼叫,源RNC可以决定不执行到E-UTRAN的切换(避免
目标MME会因此而拒绝此次切换)。检查方法是按照下面规则分析当前的CK和IK:
• 如果 CK 的高 64 位和低 64 位不相同,RNC 可认为 UE 已经通过 UMTS AKA 认证(因
为如果 CK 由 Kc 和 c4 密钥转换算法[4]导出,那么 CK 的高 64 位和低 64 位是相同
的,这与 CK 产生于 UMTS AKA 完全不同)。
• 如果 CK 的高 64 位和低 64 位相同,RNC 应进一步检查是否 IK 满足 c5 密钥转换算
法公式[4]。如果 IK 不满足该公式,RNC 可认为 UE 已经通过 UMTS AKA 认证;如
果 IK 满足该公式,RNC 可认为 UE 已通过 GSM AKA 认证。
如果源 RNC 不能确定 UE 是否通过 UMTS AKA 认证,源 RNC 可以在切换决定阶段提供给
UE 一个合适的网络,并且可以发送一个 Relocation Request 消息给 SGSN,此消息不包括
任何安全相关的参数。
1. SGSN 应在 Forward relocation request 消息中将 MM 上下文(包括 CK 和 IK(或 Kc)、
KSI 和 UE 安全能力)传递给 MME。如果 Forward relocation request 消息中的 MM
上下文指示是GSM安全模式(即它包含Kc),MME应终止非紧急呼叫过程。UE通过Attach
Request 和 RAU Request 中的 MS Network Capability IE 将 UE 的安全能力(包括 UE
的 EPS 安全能力)发送给 SGSN,该 IE 被扩展为能包含 UE 的 EPS 安全能力。SGSN 有
可能不将 UE 的 EPS 安全能力转发给 MME,当 MME 没有从 SGSN 收到 UE 的 EPS 安全能力
时,MME 应假设 UE 支持下列的默认 EPS 安全算法集合(并根据默认集合在映射的 EPS
NAS 安全上下文中相应设置 UE 的 EPS 安全能力):
1) EEA0、128-EEA1 和 128-EEA2:用于 NAS 信令加密、RRC 信令加密和 UP 加密;
2) 128-EIA1 和 128-EIA2:用于 NAS 信令完整性保护和 RRC 信令完整性保护。 电话:82054513 http://www.ptsn.net.cn
45
-
UE 源 RNC eNB SGSN MME
Relocation request FW relocation Request (来自源系统的安全上下
文, MM 上下文)
K'ASME = KDF (CK, IK, NONCE)
S1 HO Request Ack (TS 36.331 中的 RRCConnectionReconfiguration )
S1 HO Request (NONCE; 由 K'ASME 生成的 KeNB)
FW relocation Response (RRCConnectionReconfiguration)
Relocation command (RRCConnectionReconfiguration) UTRAN HO
Command (RRCConnectionReconfiguration)
K'ASME = KDF (CK, IK, NONCE)
HO complete (即 TS 36.331 中的RRCConnectionReconfiguration complete ) HO notify
FW relocation complete
FW relocation Complete Ack
生成一个透明封装,即. RRCConnectionReconfiguration,包括 NONCE
图13 从 UTRAN 切换到 E-UTRAN
注1:本文档的5.1.3.2和 5.1.4.2节要求UE应支持默认的EPS安全算法集合,对于R8版本而言,
默认的 EPS 安全算法集包含所有已为 EPS 标准化的安全算法。此处使用默认的 EPS 安全算法
集合这一说法,主要是考虑到未来版本有可能引入更多的安全算法。
2. MME 应创建 NONCEMME,它用于 K'ASME推导(对 NONCEMME 的随机性要求参见 A.9)。MME 应
根据 CK 和 IK、利用附录 A中定义的单向密钥推导函数来导出 K'ASME,且使用密钥集合
标识符 KSISGSN来标记它。应分发与 近产生的(或者通过一次成功的、UTRAN 中的 UMTS
AKA 运行(它可以是已经或者还未被 UE 和 SGSN 使用过)或者从以前访问 UTRAN 时 EPS
安全上下文映射的 UMTS 安全上下文中得到)密钥集合相对应的 KSI,以导出 KSISGSN
的值域。MME 应从 K'ASME 推导 NAS 密钥和 KeNB。上行链路和下行链路中与所映射的 EPS
安全上下文相对应的 NAS 计数值,应在 UE 和 MME 中被重置为 START 值(即 0)。
3. MME 应选择在它的配置列表中有 高优先级的、且在 UE EPS 安全能力范围内的 NAS
安全算法(包括加密和完整性保护算法),MME 应在 S1HO Request 消息中的 NAS
Security Transparent Container IE 中包含 KSISGSN、NONCEMME和所选择的 NAS 安全
算法,发送给目标 eNB。MME 还应进一步在给目标 eNB 的 S1 HO Request 消息中包含
KeNB和 UE EPS 安全能力(该能力或者从 SGSN 收到,如果没有则使用默认的 EPS 安全
电话:82054513 http://www.ptsn.net.cn
46
算法集合能力)。
4. 目标 eNB 应选择在它的配置列表中有 高优先级的、且在 UE EPS 安全能力范围内的
AS 算法(包括 RRC 和 UP 的加密算法,RRC 的完整性保护算法)。目标 eNB 应创建一个
透明封装(RRCConnectionReconfiguration)以包含所选择的 RRC、UP 算法和 NAS
Security Transparent Container IE,然后在 S1 HO Request Ack 消息中把它发送
给 MME。 注2:该透明封装没有被目标 eNB 保护。
5. MME 应在发送给 SGSN 的 FW Relocation Response 消息中包含从目标 eNB 收到的透明
封装。
6. SGSN 应在发送给 RNC 的重定位命令中包含该透明封装。
7. RNC 应在发送给 UE 的 UTRAN HO 命令中包含该透明封装。 注3:如 TS 33.102 [4]中规定的, UTRAN HO 命令使用完整性保护并可选加密。
8. UE应使用与MME相同的方法推导K'ASME(MME的推导方式参见步骤2),将它与KSISGSN
相关联,并相应导出 NAS、RRC 和 UP 密钥。UE 应发送 RRCConnectionReconfiguration
Complete消息给eNB。上行链路和下行链路中与所映射的EPS安全上下文相对应的NAS
计数值,应在 UE 和 MME 中被重置为 START 值(即 0)。
9. 映射的 EPS 安全上下文应成为 AS 和 NAS 层面的当前(见 3.1 节)EPS 安全上下文,且
覆盖任何存在的当前映射的 EPS 安全上下文。如果当前的 EPS 安全上下文的类型是原
生的,那么它应成为非当前原生 EPS 安全上下文,且覆盖其他现存的非当前 EPS 安全
上下文。在 E-UTRAN 中,HO Complete 消息和其随后的所有 AS 层消息应根据目标 PLMN
的策略进行加密和完整性保护。
如果切换没有成功,新的已映射EPS安全上下文将来不能使用,MME应删除新的已映射
EPS安全上下文。
后续的 NAS 信令
为了防止在前一个RAT中UE安全能力的成功回落会给为NAS和AS层选择安全算法带来
影响,IRAT-HO之后的TAU请求中应包含UE安全能力参数,且它应被MME验证。 注4:任何切换后的 TAU 请求会受完整性保护,细节见 9.2.2.1 节。
如同规范23.401[2]中所规定的,任何情况下,从上下文传输中收到的能力信息将被
从UE处收到的UE安全能力信息所覆盖。
有可能出现,相比于MME从源SGSN中收到的任何算法,MME在TAU请求中收到的UE安全
能力包含了更高优先级的算法(依据保存在MME中的优先级列表);也有可能发生MME根据
上面A)中的步骤1选择为UE使用默认的EPS安全算法集合,而TAU请求中包含比默认集更高
优先级的算法(依据保存在MME中的优先级列表),如果上述情况中任意一种发生,MME应
根据7.2.4.4执行一个NAS SMC过程来改变NAS算法,和一个S1 CONTEXT MODIFICATION过程
来通知eNB正确的UE EPS安全能力和触发AS算法的改变。
1. 如果 MME 有 UE 的原生安全上下文,且在 HO 之后的某一个特定时间内未接收到 TAU 请
求,则它应假设 UE 和 MME 共享一个原生安全上下文。 注5:依据 TS 23.401[2],当发生 Tracking Area 变化时,从 UTRAN 到 E-UTRAN 的切换后应执行
电话:82054513 http://www.ptsn.net.cn
47
TAU 步骤,其它情况下则是可选执行 TAU 过程。
2. 当 UE发送 TAU 请求时,它应使用 KSISGSN 所标识的映射 EPS 安全上下文来保护该请求。
当且仅当 UE 有原生 EPS 安全上下文时,UE 还应在 TAU 请求中包含 KSIASME,KSIASME
应和 GUTI 伴随出现。当 MME 收到 TAU 请求,其中的 KSIASME 和 GUTI 对应于 MME 上所
保存的一个非当前原生EPS安全上下文时,它应知道UE和 MME共享了该非当前原生EPS
安全上下文。
3. 当 MME 收到没有 KSIASME 的 TAU 请求时,应删除它存储的对应用户的、任何 GUTI 的任
何非当前的原生 EPS 安全上下文。
4. 如果 MME 共享有 UE 所发送的 TAU 请求中 KSIASME 和 GUTI 所索引的非当前原生 EPS 安
全上下文,MME 可能会依据 7.2.10.4 和 UE 执行 NAS SMC 过程,来激活该非当前的原生
EPS NAS 安全上下文。MME 有可能在该过程中依据 7.2.10.2 来附加改变 KeNB。如果在 TAU
请求消息中收到的 GUTI 指向一个不同的 MME,则应分发一个新的 GUTI,将它和 KSIASME
进行关联,并用它替换接收到的 GUTI。 注6:即使当 UE 和 MME 共享了一个非当前的原生 EPS 安全上下文时,TAU 请求也使用映射的 EPS
安全上下文进行完整性保护,这是因为 UE 并不能确信当它发送 TAU 请求时 MME 上依然还有非
当前的原生 EPS 安全上下文。
5. 完成了前述的 TAU 步骤后,当 MME 知道它与 UE 共享了一个非当前的原生 EPS 安全上下
文时,MME 可能会(这取决于 MME 上的配置策略,且当在步骤 4中 MME 没有如此执行时)
激活该非当前的原生 EPS 安全上下文。这个激活通常有三种方式:
1) 当 UE 上已经建立了密码保护的无线承载时,MME 应初始如 7.2.10 所述的对于整
个 EPS 密钥体系的密钥交换。
2) 在 UTRAN 切换后紧随的下次转移到 ECM-IDLE 状态之后:UE进入 ECM-IDLE 状态后,
一旦收到来自 UE 的第一条消息,MME 应使用 7.2.4.4 和 7.2.4.5 节定义的过程,
来激活该非当前的原生 EPS 安全上下文(如果它存在的话)。
3) 在下次转移到 EMM-DEREGISTERED 时(参见 7.2.6.1 节)。
6. 如果一个非当前的原生 EPS 安全上下文已经建立,则 UE 和 MME 应删除映射的 EPS 安全
上下文,并将该非当前的原生 EPS 安全上下文设置为当前的 EPS 安全上下文。 注7:执行 NAS SMC 步骤可以确保自上一次从 KASME导出 KeNB之后、上行链路的 NAS COUNT 被增加
了。
注8:转移到 EMM-DEREGISTERED 状态后,对原生和映射 EPS NAS 安全上下文的处理方法参见
7.2.6.1 节。
9.2.2.2 从 UTRAN 到 E-UTRAN 切换期间,NAS 密钥和 KeNB的推导
MME和UE应按附录A中的定义从映射的密钥K'ASME来推导NAS密钥。
MME和UE应用附录A.3中定义的KDF、用映射的密钥K'ASME 和把232-1作为上行链路NAS
COUNT的值来推导KeNB。 注:MME和UE只是用2
32-1作为上行链路NAS COUNT的值以推导KeNB,但并不把上行链路的NAS COUNT
设为232-1。之所以选择这样一个不在正常NAS COUNT范围内(即[0, 224-1])的值,是为了避
免该值可能被再次用于推导相同的KeNB。
9.3 到 E-UTRAN 的 IRAT 移动性时 AKA 相关推荐
电话:82054513 http://www.ptsn.net.cn
48
从GERAN或UTRAN切换到E-UTRAN后,如果在E-UTRAN中没有原生的安全上下文,则强烈
建议在切换后立即运行AKA和为整个密钥体系执行密钥交换。
当UE在空闲模式下从GERAN或UTRAN移动到E-UTRAN时,如果在E-UTRAN中没有原生的安
全上下文,则强烈建议或者在TAU过程(用于在MME和UE之间建立EPS安全上下文)以后或
者在UE建立了密码保护的无线承载后立即运行AKA。
9.4 附着步骤
9.4.1 附着在 UTRAN 中
本小节对应于UE在Attach Request消息的“old P-TMSI”信息单元中包含一个映射的
GUTI时的场景。 注1:TS 23.060 指出了将一个有效的 P-TMSI 或一个从有效的 GUTI 映射得到的 P-TMSI(即映射的
GUTI)插入到 Attach Request 消息的“old P-TMSI”信息单元中的条件。
如果UE有一个当前的EPS NAS安全上下文,则如9.1.1所述,它应该在Attach Request
消息的P-TMSI signature IE中包含一个截短的NAS-token,UE还应该在消息中包含与当前
EPS安全上下文相关联的eKSI值相等的KSI。
如果UE没有当前EPS NAS安全上下文,UE应该将截短的NAS-token设为全0、KSI设为
‘111’以指示UE没有可用的密钥。
SGSN应该将包含截短NAS-token的P-TMSI signature发送给旧的MME。MME可能如9.1.1
节所述检查非0的NAS-token,如果成功,MME回复一个Identification Response给SGSN;
如果失败,MME回复一个适当的错误原因,这会触发SGSN中的安全功能。
如果P-TMSI Signature包含的是一个全0的NAS-token或MME选择不对NAS-token进行
检查,MME可能回应一个不包含密钥的Identification Request消息。
如果需要,MME和UE应该如9.1.1节所述从KASME推导CK'和IK',MME发送的CK'、IK'和KSI
密钥应该替换目标SGSN上的所有UTRAN PS密钥参数(CK, IK和KSI)。CK'、IK'和KSI密钥
应该替换USIM和ME上所有当前保存的UTRAN PS密钥参数CK、IK和KSI。STARTPS设置规则参
照3GPP TS 25.331[19],在RRC连接建立之前UE可以设置STARTPS为0。
ME用CK’、IK’和c3算法导出GPRS Kc,c3算法参见3GPP TS33.102[4],并将eKSI(对
应CK’和IK’)设置为GPRS CKSN,随后更新USIM卡和ME中的GPRS Kc和GPRS CKSN值。
注2:由于用 CK’ 、IK’和 eKSI 更换了 USIM 卡和 ME 上 UTRAN PS 的密钥参数 CK、IK 和 KSI,需
要用新的 UTRAN PS 密钥 CK 和 IK(即 CK’和 IK’)导出新的 GPRS Kc,它是新的 UMTS 安全
上下文一部分,存储在 USIM 卡上旧的 GPRS Kc 属于旧的 UMTS 上下文,不再使用。
10 E-UTRAN 与 GERAN 间的安全互通
10.1 概述
支持E-UTRAN和GERAN间互通的SGSN能够处理UMTS安全上下文和支持TS33.102[4]中定
义的密钥转换函数c3。依据TS 33.102[4],这样的SGSN会确保支持UMTS AKA认证的UE经过
了UMTS AKA认证,此外UE应有一个USIM卡以能接入到EPS,除非是对法规允许的、无需认
证的紧急呼叫。因此即使当附着到GERAN时,支持E-UTRAN和GERAN间互通的SGSN也使用UMTS
AKA来认证UE,从而UMTS安全上下文是可用的,因此E-UTRAN和GERAN间互通的安全过程与
电话:82054513 http://www.ptsn.net.cn
49
E-UTRAN和UTRAN间互通的安全过程很相似。
10.2 RAU 和 TAU 步骤
10.2.1 GERAN 中的 RAU 步骤
本节概括了从E-UTRAN到GERAN的空闲模式移动性、以及TS 23.401 [2]中规范的空闲
模式下信令减少。
由于目标SGSN和UE能处理UMTS安全上下文,9.1.1节的步骤作如下修改后即可适用:
a) 目标 SGSN 应按 TS 33.102 [4]的密钥转换算法 c3 用 CK'和 IK'导出 GPRS 加密密
钥Kc,当目标SGSN选择的新的加密算法需要Kc128时,目标SGSN和UE应按TS 33.102
[4]的规定从 CK'和 IK'导出 GPRS 的 Kc128;目标 SGSN 和 UE 将 eKSI(对应 CK’和 IK’)设置为与 GPRS Kc128对应的 GPRS CKSN 值。
b) 目标 SGSN 应选择在 GERAN 中使用的加密算法。
10.2.2 E-UTRAN 中的 TAU 步骤
本节概括了从GERAN到E-UTRAN的空闲模式移动性、以及TS 23.401 [2]中规范的空闲
模式下信令减少。
由于SGSN与UE共享有UMTS安全上下文,9.1.2节中的步骤无需修改即可适用。
10.3 切换
10.3.1 从 E-UTRAN 到 GERAN
由于目标SGSN和UE能够处理UMTS安全上下文,9.2.1中的内容作如下修改后即可适用:
a) 目标 SGSN 应按 TS 33.102 [4]的 c3 密钥转换函数用 CK'和 IK'导出 GPRS 的加密
密钥 Kc, 当目标 SGSN 选择的新的加密算法需要 Kc128时,目标 SGSN 和 UE 应用 CK'
和 IK'导出定义在 TS 33.102[4]中的 GPRS Kc128。目标 SGSN 和 UE 设置 eKSI(对应
CK’和 IK’)为 GPRS Kc128对应的 GPRS CKSN 值。
b) 目标 SGSN 应选择切换后在 GERAN 中使用的加密算法。
c) 从 E-UTRAN 切出后,应遵从 TS 44.060 [20]中规定的切换到 GERAN 的相关原理,
来确定在目标 GERAN 中加密是否被认为是激活的。
10.3.2 从 GERAN 到 E-UTRAN
由于SGSN与UE共享有UMTS安全上下文,9.2.2节中的步骤无需修改即可适用。
10.4 对 IRAT 移动到 E-UTRAN 时的 AKA 的建议
同9.3中的相关推荐。
10.5 附着在 GERAN
由于SGSN能够处理UMTS安全上下文,9.1.1中的内容作如下修改后即可适用:
a) SGSN 和 UE 应按 TS 33.102 [4]的规定从 CK'和 IK'导出 GSM 加密密钥 Kc, 当目标
SGSN 选择的新的加密算法需要 Kc128时,SGSN 和 UE 应按 TS 33.102 [4]的规定从
CK'和 IK'导出 Kc128。
电话:82054513 http://www.ptsn.net.cn
50
b) SGSN 应选择在 GERAN 中使用的加密算法。
11 网络域控制面保护
对EPS和E-UTRAN中基于IP的控制面信令的保护应遵从TS 33.210 [5]。
为保护S1和X2控制平面,如TS33.210[5]中定义的,要求应根据RFC4303[7]实现IPSec
ESP。对S1-MME和X2-C,应根据TS33.310[6]实现基于IKEv2证书的认证。对于S1-MME和X2-C,
在eNB上实现隧道模式的IPsec是必选的,核心网侧则可能使用SEG来终结IPsec隧道。 注1:如果控制面的接口是可信任的(例如物理性保护),则没有必要再按 TS 33.210 [5]进行保
护。
IPsec的传输模式对于X2-C和S1-MME上的实现是可选的。 注2:传输模式可以被用来减少 IPsec 所增加的协议开销。
其他3GPP标准可能定义了特殊类型的eNB中IKEv2协议、证书类别和IPsec的实现细节。
除去特别声明之外本协议中特殊类型的eNB优先遵守这些3GPP协议,特别是TS33.320[22]
中的HeNB应遵照此规定。
12 用户面回路保护
5.1.3和5.1.4描述了如何在eNB和UE之间使用对应用户的安全关联来保护用户面数
据。
为了按5.3.4节中的要求来保护S1和X2用户面,应如TS33.210[5]所描述的、根据
RFC4303[7]来实现IPsec ESP,以实现加密、完整性和防重放攻击保护。
在X2-U和S1-U接口上,实现传输模式IPsec是可选的。 注1:传输模式可被用来减少 IPsec 所增加的协议开销。
对于X2-U和S1-U接口,在eNB上实现隧道模式的IPsec是必选的,核心网侧则可能使用
SEG来终结IPsec隧道。
对于S1和X2用户面,应实现基于IKEv2证书的认证。证书应根据TS33.310[6]所描述的
属性来实现,IKEv2也应被TS33.310[6]所描述的IKEv2属性来实现。针对特殊类型的eNB
其他3GPP标准指定了IKEv2协议、证书类别和IPsec实现方法,除去特别说明之外特殊类型
的eNB应优选遵守这些协议的规定,特别是TS 33.320[22]中规定的HeNB也应如此。
注2:如果 S1 和 X2 用户面接口是可信的(例如采用了物理防护技术),则不需要使用基于
IPsec/IKEv2 的保护。
13 接口上的管理平面保护
5.3.2节要求EPS核和eNB间的eNB建立和配置通信(即管理平面)受到保护,这种通信
通常采用与S1接口相同的回路来传输,因此为S1-MME和S1-U接口定义的保护机制可以被重
用于S1管理平面(即S1-M)。
此种情况下,为了获得这样的保护,应如TS33.210[5]所描述的、根据RFC4303[7]来
实现IPsec ESP,以实现加密、完整性保护和防重放保护。
为支持S1管理平面安全,在eNB上实现隧道模式的IPsec是必选的,核心网侧则可能使
用SEG来终结IPsec隧道。如果没有用SEG,IPsec隧道可能在单元管理器上终结。
电话:82054513 http://www.ptsn.net.cn
51
在S1管理平面上,eNB应实现基于IKEv2证书的认证。证书应根据TS33.310[6]所描述
的属性来实现,IKEv2也应被TS33.310[6]所描述的IKEv2属性来实现。针对特殊类型的eNB
其他3GPP标准也指定了不同的IKEv2协议、证书类别和IPsec实现细节。
由于特殊类型eNB的管理通信流不是在如S1这样回程链路承载,其他的3GPP标准可能
定义了相应的安全机制和证书类型。这些安全机制提供基于证书的双向鉴权,以及机密性
保护、完整性保护和重放保护。这些功能的保护强度应至少不低于IKEv2与IPsec。
除非特别说明这些特殊类型的eNB应优选使用这些3GPP标准指定的保护方法,特别是
TS33.320[22]中规定的HeNB也应如此。 注1:X2 不承载管理平面通信。
注2:如果S1管理平面接口是可信的(例如采用了物理防护技术),则不需要使用基于IPsec/IKEv2
或同等的安全机制的保护。
14 E-UTRAN 和 UTRAN/GERAN 电路域之间的 SRVCC
14.1 从 E-UTRAN 到 UTRAN/GERAN 的电路域
单无线接入时的语音呼叫连续性(SRVCC)在3GPPTS23.216[17]中描述。
切换时MME选择当前的NAS下行COUNT值,然后将存储的NAS下行COUNT值加1。 注1:NAS 下行值加 1 可保证 NAS 下行 COUNT 随时更新,以用于未来的其他用途。
按照单向密钥导出函数KDF(参见附录A)的方法,MME和UE应该用当前EPS安全上下文
中的KASME和NAS下行COUNT推导出加密密钥CKSRVCC和完整性密钥IKSRVCC。
KDF函数返回256位的输出,其中128高位表示CKSRVCC,128低位标识IKSRVCC。
MME应提供选择的NAS下行COUNT值的低4位给源eNB,这些比特将包含在给UE的切换命
令中。UE应该使用接收到的低4位字节和存储的NAS下行计数器估算出MME选择的NAS下行计
数器。
注2:这里将如何估算 NAS 下行 COUNT 的方法留给具体实现。
UE应该确保估算的NAS下行计数器在前面PS或者SRVCC切换(不管是否成功)中计算CK'
和IK'时没有使用过。如果估算的NSA下行计数器大于所有估算的NAS下行计数器(包括切
换中导出密钥时使用的NAS下行计数器、通过了完整性校验的在NAS消息中接收到的NAS下
行计数器),那么即使使用了估算的NAS下行计数器的NAS消息已经通过了完整性检查,UE
也应该更新存储的NAS下行计数器。存储的NAS下行计数器不能减少。
UE和MME 应分发eKSI值给KSI。MME应传输带有KSI的CKSRVCC, IKSRVCC,以及UE的安全能力
给为SRVCC功能而增强的的MSC服务器。当SRVCC切换成功后,为SRVCC功能而扩展的MSC服
务器应该用从MME收到了CKSRVCC, IKSRVCC, KSI取代所有保存的UTRAN CS密钥参数CK,IK,KSI。
UE应使用CKSRVCC, IKSRVCC, KSI取代ME和USIM中保存的UTRAN CS密钥参数CK,IK,KSI, STARTCS
值应遵从TS25.331 [19]的规则。
ME用CKSRVCC、IKSRVCC和c3算法(参见3GPP TS33.102[4])推导出GSM CS Kc,并将eKSI
(与CKSRVCC、IKSRVCC对应)的值分发给GSM CS的CKSN(与GSM CS Kc对应),随后ME用新的GSM
CS Kc和GSM CS CKSN值更新ME和USIM卡。
电话:82054513 http://www.ptsn.net.cn
52
注3:用来替换 USIM 中所存储值的新派生的安全上下文(包括 CKSRVCC, IKSRVCC 和 KSI )是为了允
许重用导出的安全上下文,而不必在后续的链接建立过程中调用认证过程,它同样是为了避
免出现一个 KSI 值指示两套不同的密钥集,以至导致安全上下文不同步。
注4:如果运营商担心从其他运营商的 E-UTRAN 接收到的密钥的安全性,可以在为 SRVCC 功能而升
级的 MSC 服务器上执行相应策略,以便在切换后尽快的运行一次 UMTS AKA。例如在 UE 离开
激活态后让扩展的 MSC 服务器删除映射的 UMTS 安全上下文。
注5:由于 USIM 卡和 ME 上 UTRAN CS 所有密钥参数 CK、IK 和 KSI 都被 CKSRVCC、IKSRVCC和 eKSI 更新
了,所以应该用 UTRAN CS 新的密钥参数 CK 和 IK(即 CKSRVCC、IKSRVCC)推导出 GSM CS 一个新
的 Kc,Kc 也是 UMTS 安全上下文的一部分,这是因为存储在 USIM 卡和 ME 上的旧的 GSM CS Kc
是旧的 UMTS 安全上下文的一部分,已不能再使用。
如果SRVCC是从E-UTRAN切换到GERAN得到的,本节上述方法也适用于MME、增强的MSC
服务器和UE。增强的MSC服务器还使用TS 33.102 [4]中定义的密钥转换算法c3、CKSRVCC 和
IKSRVCC推导出GSM CS加密密钥Kc,并且将eKSI的值分发给GSM CS的CKSN(与GSM CS Kc对应),
目标BSS选择的新的加密算法需要KC128,那么目标MSC服务器和UE应该根据TS33.102定义计
算出128比特的GSM加密密钥KC128。UE和扩展的MSC服务器应能将eKSI的值分发给GSM CS的
CKSN(与GSM CS Kc128对应)。 注6:在 SRVCC 切换操作中非话音承载也可能被切换,非话音承载的密钥推导在本文档的第九章中
定义。
如果SRVCC切换没有成功,那么为SRVCC功能扩展的MSC服务器和UE不能使用新的映射
CKSRVCC、IKSRVCC和KSISRVCC,同时为SRVCC功能而扩展的MSC服务器应该删除新的映射CKSRVCC、IKSRVCC
和KSISRVCC,以及相应存储(如果存在的话)的参数CKCS和IKCS(它们的KSI与新的映射CKSRVCC
和IKSRVCC的KSI是一样的)。
14.2 SRVCC 中的紧急呼叫
对于紧急呼叫的SRVCC,如果EUTRAN的会话是按15.2.1节描述的方式实现的,那么应
该使用14.1节中定义的安全过程。如果EUTRAN的会议是按15.2.2节描述的方式实现的,那
么不应使用14.1节中定义的安全过程,即不需要密钥推导。
15 紧急呼叫过程中的安全问题
15.1 概述
在TS23.401[2]中描述了EPS紧急呼叫,UE的受限业务状态在TS23.122 [21]中定义,
紧急呼叫可以由正常附着的UE或者是在受限业务状态下紧急附着的UE发起,紧急呼叫可以
是认证过的也可以是没有认证过的,具体在下面章节定义。是否允许非认证的紧急呼叫依
赖于服务网络的策略。没有明确定义的紧急呼叫行为应按照非紧急呼叫的过程处理。
当UE需要执行紧急业务但是不能从网络得到正常的业务支持时,通过E-UTRAN初始附
着过程进行紧急附着。当UE执行紧急附着时,应将附着类型设置为Emergency,并且如果
UE没有有效的GUTI或者有效的P-TMSI,应使用IMSI,如果UE没有IMSI,没有GUTI,或者也
没有有效的P-TMSI,按照[2]中的定义应使用IMEI。
在紧急附着时,建立紧急业务承载时MME使用MME紧急配置数据中的参数。按照[2]的
定义,MME将忽略任何存储的与IMSI相关的签约数据。
在紧急附着时,对于一个非认证的UE,MME不会向HSS发送任何Notify请求消息。对于
电话:82054513 http://www.ptsn.net.cn
53
认证的紧急附着的UE,如果签约数据指示用户允许切换到非3GPP接入,那么MME执行与正
常附着时相类似的HSS通知过程。
15.2 安全过程及其适用性
15.2.1 紧急呼叫的认证
15.2.1.1 概述
当还没有附着到网络时,没有处于受限业务状态的UE应发起正常的初始附着过程,以
接收紧急EPS业务。
如同TS23.401 [2]中定义的,在紧急呼叫建立过程中应使用安全模式过程,另外,和
非紧急呼叫业务相同也应使用完整性保护(和可选的加密)。不管什么原因,如果USIM认
证失败,紧急呼叫将按照15.2.2和15.2.3中描述的进行处理。如果呼叫已经进行了NAS和
AS完整性保护(和可选的加密保护),那么NAS或AS的完整性检查或者加密检查失败是异常
状态,应按照非紧急呼叫的情况处理。
15.2.1.2 UE 和 MME 共享当前安全上下文
如果可能处在受限业务状态下的UE已经认证通过并且尝试建立紧急承载,UE应使用已
经存在的当前EPS安全上下文。如果MME使用当前的EPS安全上下文成功地确认了UE紧急承
载建立请求,那么MME应接受紧急承载建立请求。
如果MME在收到使用当前NAS安全上下文进行完整性保护的紧急承载建立请求后试图
对UE进行认证,并且AKA认证失败,同时服务网络的策略不允许非认证的紧急呼叫,那么
UE和MME应按照6.1.1节描述的非紧急呼叫的过程进行处理。
如果MME在收到使用当前NAS安全上下文进行完整性保护的紧急承载建立请求后试图
对UE进行认证,并且AKA认证失败,但是服务网络的策略允许在受限业务状态下的非认证
的紧急呼叫,那么UE和MME应按照下面的描述进行处理。
如果在紧急呼叫建立过程中AKA认证失败,那么UE就处于受限业务状态,即使UE在紧
急呼叫之前处于正常业务状态,紧急呼叫将按照15.2.2描述的进行处理。
如果在呼叫过程中 AKA 一直运行,那么 MME 和 UE 将按照下面的描述进行处理:
UE 的行为:
a) 在发送 EC 指示到服务网络后,UE 应知道要发起紧急呼叫。
b) 成功AUTN确认后,UE应发送User RES到 MME,并且应开始等待从MME发送的SMC。;
c) 当 AUTN 确认失败时,UE 应发送认证失败消息给 MME。EC 指示和认证失败消息的
集合允许 UE 继续使用当前安全上下文。
MME 行为:
a) 在收到从 UE 发来的 EC 指示后,MME 知道 UE 想建立紧急呼叫。
b) 如果服务网络策略需要认证紧急呼叫,那么 MME 在比较 RES 和 XRES 不成功后,即
AKA 失败后将本次呼叫作为一般的呼叫进行处理。如果 AKA 认证失败并且服务网
络策略允许受限业务状态下非认证紧急呼叫时,MME 不应发送认证拒绝信息;
c) 在同时收到 EC 指示和认证失败消息后,MME 应允许使用当前的安全上下文建立紧
电话:82054513 http://www.ptsn.net.cn
54
急承载。 注:当NAS计数的值即将越界,并且AKA失败,或者MME不能得到新的认证向量时,那么呼叫将按照
TS23.401[2]中描述的非紧急呼叫的过程进行处理。
15.2.2 非认证的紧急呼叫
15.2.2.1 概述
处于受限业务状态的UE应可以发起初始紧急附着过程以接收紧急EPS业务。
当UE尝试紧急呼叫时,对于紧急附着的UE或者是正常附着的UE认证都有可能失败。
按照TS23.401 [2]描述和服务网络的策略,紧急呼叫可以在受限业务模式下建立紧急
呼叫,不用网络对UE进行认证或者对AS或NAS层进行完整性保护或加密。
下面是可以不用安全过程的情况:
a) 因为缺少 USIM,所以认证不可能实现;
b) 由于网络问题,服务网络不能得到认证向量,因此认证不可能实现;
c) 因为 USIM 在服务网络是受限业务状态(例如没有漫游许可或者 IMSI 被挂起),
因此认证不可能实现;
d) 认证是有可能的,但是服务网络不能成功的认证 USIM;
如果ME收到的NAS SMC为完整性保护选择了EIA0(不进行完整性保护),为加密保护选
择了EEA0(不加密),那么:
a) ME 应将在 USIM 和 ME 的非易失内存中存储的本地的 EPS NAS 安全上下文标记成无
效;
b) ME 不能用当前的 EPS NAS 安全上下文更新 USIM 和非易失 ME 内存中的内容;
这两条规则高于本规范中其他更新USIM/非易失ME内存中EPS NAS安全上下文的规则。
如果使用EIA0,即UE处于非认证的受限业务状态,并且NAS计数值越界,并且新的KASME
在NAS计数越界前没有建立,NAS连接应该被保持。
注:对于非认证的紧急呼叫,使用EIA0即空完整性算法进行完整性保护,另外,由于NAS计数值允
许越界,NAS计数值的初始值不是很重要,但是推荐当第一次收到NAS SMC时UE和MME的上行和
下行NAS计数值设为0。
带2G SIM卡的UE在E-UTRAN中应视为处于未认证的LSM状态,如果它以紧急呼叫IRAT
方式切换到E-UTRAN中仍然被视为处于未认证的LSM状态。这些场合中切换后E-UTRAN采用
EIA0。
未认证的紧急呼叫从E-UTRAN切换到其他RAT,会在其他RAT中产生一个未认证紧急呼
叫。
15.2.2.2 UE 和 MME 不共享安全上下文
如果MME在收到紧急承载建立请求后试图对UE进行认证,并且AKA认证失败,同时服务
网络的策略不允许非认证的紧急呼叫,那么UE和MME应按照6.1.1节描述的非紧急呼叫的过
程进行处理。
如果处于受限业务状态的UE还没有被认证,同时UE试图建立紧急呼叫并且AKA认证失
败,那么UE应等待NAS SMC命令建立非认证的紧急承载。仅当服务网络策略支持受限业务
电话:82054513 http://www.ptsn.net.cn
55
状态下的非认证紧急呼叫,MME才应支持非认证的紧急承载建立,在这种情况下,UE和MME
的行为如下所述。
紧急呼叫建立和AKA认证失败同时出现意味着UE处于受限业务状态,即使UE在紧急呼
叫之前处于正常业务模式。
UE的行为:
在发送 EC 指示到服务网络后,UE 应知道自己的意图是要发起紧急呼叫。
a) 成功的进行 AUTN 确认后,UE 应发送 User RES 到 MME,并且应开始等待从 MME
发来的 NAS SMC;
b) 当 AUTN 确认失败,UE 应发送认证失败消息给 MME。EC 指示和认证失败消息一
起出现表示 UE 希望从 MME 收到的 NAS SMC 选择 EEA0 和 EIA0 算法。
MME 行为:
MME 从 UE 收到 EC 指示后,知道 UE 想进行紧急呼叫。
a) 如果 MME 没有收到 UE 的 IMSI,那么 MME 应发送空算法的 NAS SMC 给 UE;
b) 在比较 RES 和 XRES 不成功后,即 AKA 失败,那么 MME 应发送空算法的 NAS SMC
给 UE;
c) 在收到 EC 指示和认证失败消息后,MME 应发送空算法的 NAS SMC 给 UE。
如果服务网络策略不允许受限业务模式下非认证的紧急呼叫,那么 MME 应拒绝 UE 发
来的非认证紧急承载建立请求。
15.2.3 未认证的紧急呼叫的密钥产生过程
15.2.3.1 概述
处于受限功能状态(LSM)下的UE和网络没有认证,二者之间没有完整的EPS NAS安全
上下文。由于EPS AKA过程没有成功实现,UE和MME就没有共享的KASME,于是MME允许紧急呼
叫采用零完整性保护算法EIA0和零加解密算法EEA0。这两个算法不需要其他输入密钥(输
出密钥均为0),这样UE和MME可以各自产生KASME,当AKA过程没有成功而EPS NAS安全上下文
需要激活时,它就可以作为EPS NAS安全上下文,其他各分层密钥产生过程与AKA成功后密
钥产生过程也是一致的。
虽然EEA0和EIA0并没有提供真正的加密和完整性保护,但UE和MME仍然产生KASME如同它们有
一个正常产生的KASME从而共享着EPS安全上下文。
15.2.3.2 切换
当UE进行X2/S1切换的时候,UE和eNB间密钥的产生与传送过程与正常情况下是一致
的。由于密钥对空算法不起作用,所以产生的中间的密钥也是没有作用的。另外节7.2.5
讲述了未认证紧急呼叫的算法选择过程,表明源eNB将把仅包含EIA0和EEA0的UE EPS安全
能力转给目标eNB,因此源eNB和目标eNB只能选择EEA0做加解密算法和EIA0作完整性保护
算法。 注:如果目标eNB是版本Rel-8的eNB,它不支持EIA0和EEA0算法,切换将因算法协商失败而被拒绝。
电话:82054513 http://www.ptsn.net.cn
56
附 录 A 密钥推导函数
A.1 KDF接口和输入参数构造
A.1.1 概述
EPS中所有的密钥推导(包括输入参数编码)应使用TS33.220 [8]中定义的密钥推导
函数(KDF),本章节定义了如何构建输入字符S,和相关的密钥一起作为KDF的输入。对应
每个独立使用的KDF,输入参数S在下面定义。
A.1.2 FC 值分发
FC数值空间由TS33.220[8]控制,在本协议中FC数值分发范围是0x10-0x1F。
A.2 KASME 推导函数
产生认证向量时当需要从CK、IK和SN id推导出 KASME时,当在AKA过程中UE计算 KASME
时,下列参数将被用来构建KDF的输入S。
⎯ FC = 0x10, ⎯ P0 = SN id, ⎯ L0 = length of SN id (i.e. 0x00 0x03), ⎯ P1 = SQN ⊕ AK
⎯ L1 = length of SQN ⊕ AK (i.e. 0x00 0x06)
序列号(SQN)和匿名密钥(AK)的异或作为认证令牌(AUTN)的一部分发给UE,见
TS33.102 [4]。如果没有使用AK,那么AK将按照TS33.102 [4]的描述处理,即置为全0。
SN id由MCC和MNC组成,应按照表A2-1所示的编码成一个8位字符。
表 A.1 SN id 的编码格式
- 8 - 7 - 6 - 5 - 4 - 3 - 2 - 1 -
MCC digit 2 MCC digit 1 octet 1 MNC digit 3 MCC digit 3 octet 2 MNC digit 2 MNC digit 1 octet 3
MCC和MNC的位数的编码在TS24.301[9]中描述。
输入的密钥Key等于CK和IK的级联CK||IK。
A.3 KeNB 推导函数
当在UE和MME中从KASME 和上行NAS计数器推导出KeNB时,使用下列参数构成S到KDF。
⎯ FC = 0x11, ⎯ P0 = 上行 NAS 计数器
⎯ L0 = 上行 NAS 计数器的长度 (即 0x00 0x04)
电话:82054513 http://www.ptsn.net.cn
57
输入的密钥应是256比特的 KASME。
当建立密码保护的E-UTRAN无线承载和执行on-the-fly密钥改变时是使用该函数。
A.4 NH 推导函数
当从KASME 中推导出NH时,使用下列参数构成S到KDF。
⎯ FC = 0x12 ⎯ P0 = SYNC-输入
⎯ L0 = SYNC-输入的长度 (即 0x00 0x20)
对于初始NH推导,SYNC-input应是 新的推导的KeNB,原来的NH用于后续的推导。在
NH链中,下一个NH总是新的,从原来的NH推导而来。
输入的密钥应是256比特的 KASME。
A.5 KeNB* 推导函数
如同7.2.9节中定义的,为了切换,当在UE和eNB中从当前KeNB 或者新的NH和目标物
理小区ID中推导出KeNB*时,下列参数将用来构造到KDF的输入S。
⎯ FC = 0x13 ⎯ P0 = PCI (目标物理小区 id)
⎯ L0 =PCI 长度 即 0x00 0x02)
⎯ P1 = EARFCN-DL (目标小区下行频率)
⎯ L1 EARFCN-DL 长度 (即 0x00 0x02)
当切换中的索引增加时输入的密钥是256比特的NH,否则是当前256比特的KeNB。
A.6 算法密钥推导函数
当UE、MME和eNB根据KASME、算法类型和算法IDs产生NAS完整性算法和NAS加密算法的派
生密钥以及根据KeNB产生RRC完整性算法和RRC/UP加密算法时,采用下列参数生产字符串S。
⎯ FC = 0x15 ⎯ P0 = 算法类型标识
⎯ L0 = 算法类型标识的长度(即 0x00、0x01)
⎯ P1 = 算法标识
⎯ L1 = 算法标识的长度(即 0x00、0x01)
算法类型标识对于NAS压缩算法是NAS-enc-alg、对于NAS完整性保护算法是
NAS-int-alg、对于RRC加密算法是RRC-enc-alg、对于RRC完整性保护算法是RRC-int-alg、
对于UP加密算法是UP-enc-alg(见表A.2。0x06-0xf0预留给未来使用,0xf1-0xff预留给
私人使用。
电话:82054513 http://www.ptsn.net.cn
58
表 A.2 算法类型标识
算法类型标识 值
NAS-enc-alg 0x01
NAS-int-alg 0x02
RRC-enc-alg 0x03
RRC-int-alg 0x04
UP-enc-alg 0x05
算法标识(在第5部分定义)应位于一个字节的低四位,高四位中的较低的两位是保
留供将来使用, 高的两个位保留供私人使用。整个高四位应全部设置为0.
对于NAS密钥导出算法,输入的密钥应为256bit的KASME,对于UP和RRC密钥导出算法,
输入的密钥应为256bit的KeNB。
对于一个长度为n个bit的密钥,当n小于等于256时,KDF输出中的256bit的低n个bit
用来作为密钥使用。
A.7 切换时的KASME 到CK', IK'的转换
当从E-UTRAN切换到GERAN/UTRAN进行安全上下文的映射时需要由KASME导出CK' || IK'
时使用这个输入字符串。KASME是一个256bit的实体,CK' 和IK' 合并起来也是256bit(CK'
和IK' 各是128bit),算法中的输入字符串由以下参数组成:
⎯ FC = 0x16 ⎯ P0 = NAS 下行链路计数值
⎯ L0 = NAS 下行链路计数值的长度(即 0x00、0x04)
输入密钥应为KASME。
A.8 RAT间移动时的NAS令牌推导
当处于空闲模式的UE从E-UTRAN移动到UTRAN 和GERAN时,NAS令牌用来确认RAU是由当
前UE发起的,需要用到以下的参数:
⎯ FC = 0x17
⎯ P0 = NAS 上行链路计数值
⎯ L0 = NAS 上行链路计数值的长度(即 0x00、0x04)
输入密钥应为 256bit 的 KASME。
A.9 切换时由CK、IK导出K’ASME
当切换到E-UTRAN时,在GERAN/UTRAN和E-UTRAN之间进行安全上下文的映射时根据CK
和IK的组合及NONCEMME派生K’ASME过程中使用该输入字符串。
K'ASME是一个256bit的值,NONCEMME是一个32bit的值,需要用到以下的参数:
⎯ FC = 0x18 ⎯ P0 = NONCEMME
⎯ L0 = NONCEMME的长度(即 0x00、0x04)
输入密钥应是组合后的CK || IK。
电话:82054513 http://www.ptsn.net.cn
59
NONCEMME的产生需要充分随机, 使MME产生相同NONCEMME值的概率很低,同时使攻击者
通过对特定用户的持续监听而预测到NONCEMME值的概率也很低。 注:一个好的强PRNG种子能够满足这个需求,不需要真实的RNG。
A.10 在空闲模式下移动时,由CK和IK导出K’ASME
当空闲模式下由 GERAN/UTRAN 移动到 E-UTRAN 进行安全上下文的映射时根据 CK 和 IK
的组合、NONCEUE 及 NONCEMME来导出 K'ASME时使用该输入字符串。K'ASME是一个 256bit 的实体,
CK 和 IK 的组合也是 256bit(CK、IK 各为 128bit),输入字符串由以下的参数组成,这里
NONCE 都是 32bit。
⎯ FC = 0x19, ⎯ P0 = NONCEUE
⎯ L0 = NONCEUE的长度(即 0x00、0x04)
⎯ P1 = NONCEMME
⎯ L1 = NONCEMME的长度(即 0x00、0x04)
输入的密钥应是CK || IK。
NONCEUE的产生需要充分随机,使UE产生相同NONCEUE值的概率很低,同时使攻击者通过
对特定用户的持续监听而预测到NONCEUE值的概率也很低。
注:一个好的强PRNG种子能够满足这个需求,不需要真实的RNG。
NONCEMME的产生在A.9中定义。
A.11 由KASME导出CKSRVCC, IKSRVCC
当在E-UTRAN和GERAN/UTRAN之间进行安全上下文的映射时,根据KASME导出CS域使用的
CKSRVCC|| IKSRVCC时使用该输入字符串。KASME是一个256bit的元素,CKSRVCC和IKSRVCC的组合也是
256bit(CKSRVCC、IKSRVCC各为128bit),输入字符串由以下的参数组成:
⎯ FC = 0x1A ⎯ P0 = NAS 下行链路计数值
⎯ L0 = NAS 下行链路计数值的长度(即 0x00、0x04)
输入的密钥应为KASME。
A.12 在空闲模式下由KASME 导出CK', IK'
当空闲模式下从E-UTRAN移动到GERAN/UTRAN进行安全上下文映射时,根据KASME导出CK'
|| IK'时使用该输入字符串。KASME是一个256bit的元素,CK' || IK' 也是256bit(CK'、
IK'各为128bit),输入字符串由以下的参数组成:
⎯ FC = 0x1B ⎯ P0 = NAS 上行链路计数值
⎯ L0 = NAS 上行链路计数值的长度(即 0x00、0x04)
输入的密钥应为KASME。
电话:82054513 http://www.ptsn.net.cn
60
附 录 B: 加密及完整性保护算法
B.1 空计算及完整性保护算法
EEA0算法产生全0的密钥流 (详见B.2.1)。密钥流长度等于输入参数的长度。产生的
密钥流除了长度参数之外,不需要其它输入参数,所有与计算过程相关的加密算法一定要
遵从附件中的加密算法。
EIA0算法要生成32位的全0的MAC-I和XMAC-I(详见B.2.1)。所有与完整性相关的进程
的执行应与附件里定义的完整性算法完全相同。 注1:由于重放保护与完整性保护有关,所以重放保护在这里提出。
EIA0仅用于LSM中的非授权UE的紧急呼叫。 注2:在 E-UTRAN 中一个带 2G SIM 卡的 UE 只能处于受限功能状态(LSM)状态。
注3:EEA0 和 EIA0 没有安全保护的作用。
B.2 128 位加密算法
B.2.1 输入和输出
加密算法的输入参数是128位加密密钥”KEY”,一个32位的计数器,一个5位的 承载
标识“BEARER”,一个1位的传送方向标识“DIRECTION”,密钥流长度“LENGTH”,当为上
行时方向标识”DIRECTION”为0,下行时为1。
图B.1举例说明了如何使用EEA加密算法来加密,可以通过异或明文与密钥流加密明
文。同时明文可以通过使用相同的输入参数产生相同的密钥流与密文进行异或还原。
-
PLAINTEXT BLOCK
EEA
COUNT DIRECTION
BEARER LENGTH
KEY
KEYSTREAM BLOCK
CIPHERTEXT BLOCK
EEA
COUNT DIRECTION
BEARER LENGTH
KEY
KEYSTREAM BLOCK
PLAINTEXT BLOCK
Sender
Receiver
图 B.1 数据的加密过程
电话:82054513 http://www.ptsn.net.cn
61
基于输入参数算法可以产生输出密钥流块“KEYSTREAM”,密钥流块可以加密输入明
文块”PLAINTEXT”并产生密语言块“CIPHERTEXT”。
输入参数“LENGTH”只影响“KEYSTREAM BLOCK”的长度,而不是实际的字节。
B.2.2 128-EEA1
128-EEA1 基于SNOW 3G并且与UEA2(参见3GPP TS 35.215 [12])是一样。所使用的
IV与子过程3.4里所定义的结构相同。
B.2.3 128-EEA2
128-EEA2是基于 128-bit AES(参见NIST: AES [13]) 算法的CTR模式[14] 。
CTR 模式需要使用的128bit的计数器块的序列T1, T2, …, Ti, …应按如下构造:
T1高位64位包括COUNT[0] .. COUNT[31]│BEARER[0] .. BEARER[4]│DIRECTION│
026 。从左至右依次排列高位到低位,例如在T1中 高位是COUNT[0] 。
T1低位的64位是全0。
后续的计数块可以通过将前一个计数块中 低位的64位进行标准的增量函数模264(详
见[14]附录B1)计算得出。
B.3 128 位完整性算法
B.3.1 输入与输出
完整性算法的输入参数是一个128位的完整性密钥“KEY”,一个32位的计数器,一个
5位的承载标识”BEARER”,1个1位的传输方向标识“DIRECTION”,消息体即“MESSAGE”。
上行时方向位为0,下行时方向位为1。“MESSAGE”的长度为“LENGTH” 。
图B.2演示了如何用完整性算法EIA来完成消息的完整性认证。
图 B.2 来源于 MAC-I/NAS-MAC (或 XMAC-I/XNAS-MAC)
发 送 方 基 于 输 入 参 数 通 过 完 整 性 算 法 EIA 计 算 出 一 个 32 位 消 息 认 证 码
(MAC-I/NAS-MAC)。发送时消息认证码插入到消息体后发送。接收者采用与发送者相同的
EIA KEY
MAC -I Sender
COUNT DIRECTION
MESSAGE BEARER-ID
EIA
XMAC -I
COUNT DIRECTION
MESSAGE BEARER-ID
KEY
Receiver
电话:82054513 http://www.ptsn.net.cn
62
方法根据收到的消息计算出期望的认证码(XMAC-I/XNAS-MAC),与收到的消息认证码
(MAC-I/NAS-MAC)进行比较校验消息的数据完整性。
B.3.2 128-EIA1
128-EIA1基于SNOW 3G ,其实现方式与3GPP TS 35.215 [12]定义的UIA2 相同。所使
用的IV的构成与TS 4.4中定义的方式相同。不同之处在于FRESH [0], … FRESH [31]被
BEARER[0] … BEARER[4]│027 (i.e. 27个0位)代替。
B.3.3 128-EIA2
128-EIA2 是基于 128-bit AES (参见NIST: AES [13])CMAC模式 (参见3GPP TS
23.216 [17])的。
“MESSAGE”的字节长度用 ”BLENGTH”来表示。
CMAC 模式的输入是一串长度为Mlen(参见3GPP TS 22.101 [18], 5.5节]) 的M构成
的,构成示意如下所示:
M0 .. M31 = COUNT[0] .. COUNT[31]
M32 .. M36 = BEARER[0] .. BEARER[4]
M37 = DIRECTION
M38 .. M63 = 026 (i.e. 26 zero bits)
M64 .. MBLENGTH+63 = MESSAGE[0] .. MESSAGE[BLENGTH-1]
Mlen = BLENGTH + 64.
使用这些参数通过AES算法的CMAC模式产生长度Tlen为32的消息认证码T(MACT),T 直
接用做128位EIA2输出MACT[0] .. MACT[31], 其中 MACT[0] 是T中 高位。 研究单位:诺基亚通信有限公司、中国联合网络通信集团公司、工业和信息化部电信研究
院、上海贝尔股份有限公司、杭州摩托罗拉移动通信设备有限公司、诺基亚西
门子通信(上海)有限公司、华为技术有限公司、高通无线通信技术(中国)
有限公司、大唐电信科技产业集团、中国移动通信集团设计院有限公司、中国
普天信息产业股份有限公司
项目完成人:张大江
项目参加人:张尼、崔媛媛、匡晓烜、胡志远、高岩、陆伟、高新菊、何承东、杜志敏、
徐晖、杜雪涛、张琳、朱锋
电话:82054513 http://www.ptsn.net.cn
