1   引言

隨著移動通信的不斷發展，人們對移動通信中的信息安全也提出了更高的要求，從2G到3G，在安全特征與安全服務方面逐步完善。為了進一步推進3G技術，提高頻譜效率，降低時延和優化分組數據，作為3G系統長期演進的LTE（long time evolution，長期演進）應運而生[1]，與此同時LTE的演進項目SAE（system architecture evolution，系統架構演進）也同時開展，目標是為LTE的演進開發一個支持多RAT（radio access technology，無線接入技術）的系統架構。在LTE/SAE中，安全包括AS（access stratum，接入層）和NAS（non-access stratum，非接入層）兩個層次。AS安全是UE（user equipment，用戶設備）與eNB（evolved node-B，演進型節點B）之間的安全，主要執行AS信令的加密和完整性保護，UP（user plane，用戶平面）數據的機密性保護；NAS的安全是UE與MME（mobile management entity，移動管理實體）之間的安全，主要執行NAS信令的機密性和完整性保護。本文主要以協議為基礎，重點介紹LTE/SAE的安全架構、安全機制及其終端安全流程的實現。

2   LTE/SAE的安全體系結構

2.1   LTE/SAE的安全架構

LTE/SAE在安全功能方面不斷得到完善、擴展和加強，參考文獻[2]提出網絡的安全分為網絡接入安全、網絡域安全、用戶域安全、應用域安全、安全服務的可視性和可配置性等5個域。

由圖1可知，LTE/SAE的安全架構和3G的網絡安全架構相比，發生了一些變化。參考文獻[3]指出：首先是在ME(mobile equipment，移動設備)和SN(serve network，業務網)之間加入了非接入層的安全，使得非接入層和接入層的安全獨立開來便于操作；然后在AN(access network，接入網)和SN之間的通信引入安全；另外，增加了服務網認證，能縮減空閑模式的信令開銷。UE是由ME和USIM(universal subscriber identity module，全球用戶標識模塊)卡組成。

2.2   LTE/SAE安全流程分析

LTE/SAE的安全流程整體上可以分為以下幾大部分，如圖2所示。

用戶開機發起注冊，與網絡建立連接后發起AKA（authentication and key agreement，鑒權與密鑰協商）過程。網絡端的MME通過終端發來的IMSI（international mobile subscriber identity，全球移動用戶惟一標識）以及相關的參數發起鑒權過程，之后與終端進行密鑰協商，發起安全激活命令SMC(security mode command，安全模式過程)，其最終目的是要達到終端和網絡端密鑰的一致性，這樣兩者之間才能安全地通信。

2.3   鑒權與密鑰協商過程

LTE/SAE鑒權與密鑰協商過程的目的是通過AUC(authentication centre，鑒權中心)和USIM卡中所共有的密鑰K來計算密鑰CK(cipher key，加密密鑰)和IK（integrity key，完整性密鑰），并由CK和IK作為基本密鑰計算一個新的父密鑰KASME， 隨后由此密鑰產生各層所需要的子密鑰，從而在UE和網絡之間建立EPS（evolved packet system，演進型分組系統）安全上下文。LTE和3G在AKA過程中的個別地方是有所不同的，參考文獻[2]指出網絡端生成的CK、IK不應該離開HSS（home subscriber server，歸屬地用戶服務器，存在于歸屬地環境HE中），而參考文獻[3]指出3G的CK、IK是可以存在于AV(authentication vector，鑒權向量)中的，LTE這樣做使主要密鑰不發生傳輸，提高了安全性。AKA過程最終實現了UE和網絡側的雙向鑒權，使兩端的密鑰達成一致，以便能夠正常通信。詳細的鑒權與密鑰協商過程如圖3所示。

（1）～（3）MME通過鑒權請求Authentication datequest將IMSI、SN ID（server network identity，服務網標識）和Network Type(服務網類型)傳給HSS，HSS用SN ID對終端進行驗證。如果驗證通過，HSS將會使用收到的參數生成AV， 它包括參數RAND(隨機數)、AUTN(authentication token，鑒證令牌)、XRES（通過和用戶返回的RES比較來達成密鑰協商的目的）和密鑰KASME，KASME是用來產生非接入層和接入層密鑰的總密鑰，之后通過鑒權響應Authentication data response將AV傳給MME。

（4）～（10）MME存儲好AV后，將會通過用戶鑒權請求User authentication request這條消息將參數AUTN、RAND和KSIASME 傳給終端。KSIASME 是用來標識KASMEKASME，目的是為了終端能獲得和網絡端一樣的KASME 。隨后，參考文獻[4]指出終端將會核實收到的AUTN的AMF（authentication management field，鑒證管理域）。如果可以接受，通過驗證，將會進一步生成一個響應RES；如果和XRES匹配的話，表示鑒權成功了。

RES的具體生成方法如圖4所示。參考文獻[3]指出圖中的SQN(sequence number，序列號)是一個計數器。f1和f2為鑒權函數，f3、f4、f5和KDF都是密鑰生成函數；?茌為異或操作；AK為一個密鑰，AK = f5K (RAND)，主要用于恢復SQN，具體操作是SQN = (SQN?茌AK)  AK；MAC為網絡端產生的信息確認碼，XMAC為終端生成的信息確認碼。當UE收到MME發來的鑒權請求后，通過驗證，使用參數K、SQN（恢復的）和AMF通過函數f1生成XMAC，通過比較XMAC和MAC相等后，才被允許進行下一步動作。

上述過程完成之后，終端和網絡端的非接入層和接入層將會由產生的密鑰KASME通過KDF獲取相應的機密性及完整性保護所需要的密鑰。

2.4   終端的安全性激活過程

在LTE中，非接入層和接入層分別都要進行加密和完整性保護，它們是相互獨立的，它們安全性的激活都是通過SMC命令來完成的，且發生在AKA之后。網絡端對終端的非接入層和接入層的激活順序是先激活非接入層的安全性，再激活接入層的安全性。

2.4.1   非接入層的安全模式過程

由圖5可知，非接入層的安全模式過程是由網絡發起的，MME發送的SMC消息是被非接入層完整性保護了的，但是沒有被加密。參考文獻[4]指出UE在收到SMC消息后，首先要比對消息中的UE security capabilities（安全性能力）是否和自己發送給網絡以觸發SMC過程的UE security capabilities相同，以確定UE security capabilities未被更改，如果相同，表示可以接受，沒有受到攻擊，nonceMME和nonceUE用于切換時的安全性激活，本文就不再贅述；其次，進行NAS層密鑰的生成，包括KNASenc和KNASint， 前者為NAS加密密鑰，后者為NAS完整性保護密鑰；接著，UE將根據新產生的完整性保護密鑰和算法對收到的SMC消息進行完整性校驗，校驗通過，表示該SMC可以被接受，此安全通道可用；最后，UE發出安全模式完成消息給MME，所有的NAS信令消息都將進行加密和完整性保護。如果安全模式命令的校驗沒通過的話，將發送安全模式拒絕命令給MME，UE退出連接。如圖5中的第3步。

2.4.2   接入層的安全模式過程

在非接入層的安全性激活后，緊接著將要進行接入層的安全性激活，采用AS SMC命令來實現的。如圖6所示，網絡端通過已經存在的KASME來生成KeNB ，利用KeNB生成完整性保護密鑰對AS SMC這條消息進行完整性保護，并生成一個信息確認碼MAC-I；之后，將AS SMC傳給ME。參考文獻[5]指出ME首先利用密鑰KASME來生成KeNB ， 之后利用收到的算法和KeNB通過KDF生成完整性保護密鑰，然后對此AS SMC信息進行完整性校驗，具體是通過生成一個X-MAC，如果X-MAC和MAC-I相匹配的話，通過校驗，之后進一步生成加密密鑰，并發送AS SMC完成消息給eNB，此條消息也要進行加密和完整性保護，也要生成一個信息確認碼MAC-I，具體用途已介紹，此步驟非常重要，假如校驗不通過，UE會向eNB返回一條AS Mode Failure消息，表明此通道不安全，UE是要退出連接的。eNB對AS SMC完成消息進行完整性校驗通過后，此時接入層的安全性就激活了，可以開始傳輸數據了。

3   LTE/SAE安全體系終端的具體實現

3.1   終端密鑰的獲取

在非接入層和接入層的安全性激活之后，將會進一步生成各自機密性和完整性保護所需要的密鑰。

圖7中的第（1）步在圖3中已經介紹過，主要是用于生成密鑰KASME ，非接入層直接用此密鑰獲取非接入層信令所用的完整性密鑰和加解密密鑰，如圖中第（2）步所述。接入層還要首先通過此密鑰再進一步獲取控制平面所需要的完整性和加解密密鑰KRRCint、KRRCenc 以及用戶平面所需的加解密密鑰KUpenc。

3.2   終端數據的安全性實現

前面已經介紹過LTE終端非接入層和接入層都要對數據進行機密性和完整性保護。兩者相似，本文僅介紹終端接入層的安全性實現。

LTE終端協議棧接入層的安全性的具體功能實現是在PDCP（packet data convergence protocol，分組數據匯聚協議）中完成的。參考文獻[6]指出PDCP在接入層協議棧中的位置位于RLC（radio link control，無線鏈路控制）層之上，受RRC（radio resource control，無線資源控制）的調度和控制，將來自上層的用戶數據傳輸到RLC子層。PDCP機密性的對象是C（control，控制）平面的信令以及U(user，用戶)平面數據部分，完整性保護的對象僅針對C平面的信令部分，完整性保護在加密之前進行。

LTE中數據的安全性都是基于算法來實現的，機密性和完整性保護的核心算法有兩種:AES（advanced encryption standard，高級加密標準）和SNOW 3G算法。參考文獻[7]指出AES采用的是128位塊加密，參考文獻[8]指出SNOW 3G采用的128位流加密。下面將分別介紹數據機密性和完整性的具體實現。

3.2.1   終端數據的機密性實現

機密性均采用AES或SNOW 3G算法，具體采用哪種算法是由RRC配給PDCP，這兩種算法的輸入密鑰均采用128位。

如圖8所示，算法的輸入是IV和KEY，輸出為Q[]。IV由4個參數組成:32位COUNT（PDCP的數據計數器）、5位的BEARER（PDCP的RB標識）、1位的DIRECTION（上行或下行數據的方向位）和LENGTH（表示所加解密數據的長度）。KEY是前面所講的密鑰KRRCenc或KUpenc 。Q[]是輸出的密鑰流塊。參考文獻[2]指出加密過程:圖8產生的密鑰流塊與明文塊異或后便產生了密文塊，加密過程完成。解密過程與加密過程相反即可。

3.2.2   終端數據的完整性實現

完整性也采用AES或SNOW 3G算法，具體采用哪種算法也是由RRC配給PDCP，這兩種算法的輸入密鑰均采用128位。

如圖9所示，算法的輸入是IV和KEY。IV也由4個參數構成，COUNT、BEARER和DIRECTION這3個參數與機密性所用的參數相同， MESSAGE代表的是實際進行完整性保護或校驗的數據；KEY是前面所提到的完整性密鑰KRRCenc。參考文獻[2]指出完整性保護過程:對輸入流IV和 KEY的處理后得到MAC-I。完整性校驗過程:對輸入流IV和KEY的處理后得到X-MAC。MAC-I和X-MAC如果匹配的話，表示完整性校驗成功。

4   結束語

LTE系統提供了較高的數據速率，對于這些業務，尤其是某些重要的數據業務，將對網絡的安全性提出更高的要求，因此對LTE/SAE安全架構和安全機制的設計顯得至關重要。目前3GPP的安全性標準還沒有穩定版本，還在不斷地更新中，我們將會在今后的研究和開發工作中不斷地完善LTE/SAE的安全功能。