LTE認(rèn)證與密鑰協(xié)商協(xié)議的安全分析及改進(jìn)

周赤+朱詩(shī)兵+李長(zhǎng)青

摘 要： 近年來，3GPP長(zhǎng)期演進(jìn)（LTE）項(xiàng)目已成為當(dāng)前4G無線通信系統(tǒng)的主流技術(shù)。相對(duì)于3G，LTE在接入安全方面做出了很大改進(jìn)，安全性亦得到提升，然而仍存在著一些安全問題。重點(diǎn)分析了LTE認(rèn)證與密鑰協(xié)商協(xié)議（EPS AKA）流程中的安全問題，關(guān)鍵信息的明文傳送問題、公共密鑰泄露問題等。針對(duì)這些安全問題提出了相應(yīng)的改進(jìn)方案， 對(duì)其進(jìn)行了安全性分析。

關(guān)鍵詞： LTE； EPS AKA； 安全問題； 4G無線通信系統(tǒng)

中圖分類號(hào)： TN929.5?34 文獻(xiàn)標(biāo)識(shí)碼： A 文章編號(hào)： 1004?373X（2014）18?0035?03

Security analysis and improvement of LTE authentication and key agreement protocol

ZHOU Chi， ZHU Shi?bing， LI Chang?qing

（Department of Information Equipment， Equipment Academy， Beijing 101400， China）

Abstract： In recent years， LTE （long term evolution） has become one of the mainstreams of current wireless communication systems. Compared with 3G， LTE makes a great improvement in the access security， but still has some security issues. The security， plaintext transmission of the key information and the public key exposure issues existing in flow path of LTE authentication and key agreement protocol （EPS AKA） are analyzed emphatically in this paper. Some improving schemes are proposed for these security issues， and their security is analyzed

Keywords： LTE； EPS AKA； security issue； 4G wireless communication system

0 引 言

近年來，無線通信技術(shù)在全世界快速發(fā)展。隨著移動(dòng)通信的不斷演進(jìn)，接入的鑒權(quán)機(jī)制也在不斷發(fā)展完善。從3GPP方向看， 主要按著GSM，UMTS，EPS的路線演進(jìn)，從單向鑒權(quán)向雙向鑒權(quán)完善，并且考慮了信息的完整性保護(hù)[1]。

在現(xiàn)有的無線系統(tǒng)中，LTE是由3GPP提出的4G無線移動(dòng)寬帶系統(tǒng)，是當(dāng)前無線研究的重點(diǎn)之一。相對(duì)于3G，LTE在接入安全方面進(jìn)行了演進(jìn)，其中最大的改進(jìn)就是將安全劃分為AS（接入層）安全和NAS（非接入層）安全兩個(gè)部分[2]；最直接的體現(xiàn)是鑒權(quán)向量的變化[1]，在EPS系統(tǒng)中，網(wǎng)絡(luò)發(fā)送給終端4元認(rèn)證向量（RAND，AUTN，XRES，KASME），與UMTS系統(tǒng)的主要差異在于KASME 。

盡管LTE在接入安全方面做出了很大改進(jìn)，但仍存在一些安全漏洞。本文將列出LTE認(rèn)證與密鑰協(xié)商協(xié)議EPS AKA中存在的問題，逐個(gè)分析并提出解決方法。

1 EPS AKA分析

1.1 EPS AKA具體流程

EPS AKA 協(xié)議是從 3G 網(wǎng)絡(luò)中的 3GPP AKA協(xié)議演化而來的，延續(xù)了以往認(rèn)證方案的“挑戰(zhàn)/響應(yīng)”流程[3]。通過 UE （用戶設(shè)備）與網(wǎng)絡(luò)之間的相互認(rèn)證過程，完成會(huì)話密鑰的協(xié)商，為后續(xù)的通信做好加密工作，提供通信的安全保障。

EPS AKA協(xié)議分為兩個(gè)階段[4] ：

（1） 從HSS到MME頒發(fā)EPS認(rèn)證向量；

（2） UE與MME之間的認(rèn)證與密鑰協(xié)商過程。

如圖1所示[5]，EPS AKA具體流程如下：

（1） UE向MME 發(fā)送接入請(qǐng)求，包括自己的IMSI（國(guó)際移動(dòng)用戶身份標(biāo)識(shí)碼）與HSS的IDHSS標(biāo)識(shí)等身份信息。

（2） MME通過認(rèn)證數(shù)據(jù)請(qǐng)求將IMSI，SN id（服務(wù)網(wǎng)標(biāo)識(shí)）和Network Type（服務(wù)網(wǎng)類型）傳給HSS。

（3） HSS收到認(rèn)證數(shù)據(jù)請(qǐng)求后，首先驗(yàn)證IMSI與SN id的合法性。驗(yàn)證通過，則生成認(rèn)證向量組AV（1，2，…，n），并作為認(rèn)證數(shù)據(jù)應(yīng)答發(fā)回給 MME。認(rèn)證向量包括參數(shù)RAND（隨機(jī)數(shù)）、AUTN（authentication token，認(rèn)證令牌）、XRES（通過和用戶返回的RES比較來達(dá)成密鑰協(xié)商的目的）和密鑰KASME（用來產(chǎn)生非接入層和接入層密鑰的基礎(chǔ)密鑰）。生成認(rèn)證向量組 AV（1，2，…，n）的相關(guān)參數(shù)算法如下：

MAC=f1K（SQN||RAND||AMF）

XRES=f2K（RAND）

KASME=KDF（f3K（RAND），f4K（RAND））

AK=f5K（RAND）

獲得參數(shù)后，再根據(jù)以下方法計(jì)算 AUTN 與 AV：

AUTN=SQN⊕AK||AMF||MAC；

AV=RAND||XRES||KASME||AUTN。

圖1 EPS AKA流程圖

（4） MME收到HSS送來的鑒權(quán)認(rèn)證向量AV后，將AV存儲(chǔ)，然后按序選擇一組AV向量AV（i），提取出 RAND（i），AUTN（i），KASME（i）等數(shù)據(jù)，同時(shí)為 KASME（i）分配一個(gè)密鑰標(biāo)識(shí) KSIASME（i）。然后向 UE 發(fā)送用戶認(rèn)證請(qǐng)求。

（5） UE 收到認(rèn)證請(qǐng)求后，通過提取和計(jì)算 AUTN（i）中的MAC 等信息，計(jì)算XMAC，比較 XMAC 和 MAC 是否相等，同時(shí)檢驗(yàn)序列號(hào)SQN是否在正常的范圍內(nèi)，以此來認(rèn)證所接入的網(wǎng)絡(luò)。如果認(rèn)證通過，則計(jì)算 RES（i）與 KASME（i），并將 RES（i）傳輸給 MME。其中XMAC=f1K （SQN|| RAND|| AMF）；RES=f2K（RAND）。

（6） MME將收到的RES（i）與AV（i）中的 XRES（i）進(jìn)行比較，如果一致，則通過認(rèn)證；接下來MME和UE演算得到KASME（i），并以KASME （i）作為基礎(chǔ)密鑰，根據(jù)約定的算法推演出加密密鑰與完整性保護(hù)密鑰，隨后開啟安全模式命令（SMC）。

1.2 EPS AKA安全分析

由以上的認(rèn)證過程可以發(fā)現(xiàn)以下幾個(gè)問題。

（1） 在首次接入網(wǎng)絡(luò)或者網(wǎng)絡(luò)端需要用戶傳輸國(guó)際移動(dòng)用戶識(shí)別碼（IMSI）時(shí)，IMSI是以明文形式發(fā)送的[6]，這樣惡意入侵者可以通過監(jiān)聽信號(hào)獲得用戶IMSI信息，假冒用戶身份入網(wǎng)，從而導(dǎo)致非法用戶訪問網(wǎng)絡(luò)。

（2） 一個(gè)或多個(gè)UE在同一時(shí)間內(nèi)大量發(fā)送業(yè)務(wù)請(qǐng)求，會(huì)導(dǎo)致基站處理能力下降，若這些大量的請(qǐng)求是被不法攻擊者惡意發(fā)送的，會(huì)惡意占用基站的大量資源，使得基站無法為其他合法用戶服務(wù)，從而引發(fā)拒絕服務(wù)攻擊。

（3） UE與HSS之間的公共密鑰長(zhǎng)期共存，是不會(huì)更新的，頻繁地在密鑰協(xié)商中出現(xiàn)將提高被不法攻擊者破解的概率。

（4） MME和HSS之間發(fā)送的消息是未經(jīng)加密保護(hù)的。由于這兩個(gè)實(shí)體之間的連接可能是有線的亦可能是無線的。如果是無線的，不法攻擊者就很容易截獲重要參數(shù)，比如AVs中的RANDs和KASME，利用這些參數(shù)滲透到系統(tǒng)中，并偽裝HSS或MME來盜取安全數(shù)據(jù)，或者發(fā)起中間人攻擊來修改被傳送消息的內(nèi)容。

2 改進(jìn)方案E?EPS AKA

針對(duì)以上問題，在此提出如下改進(jìn)方法：

（1） 引入公鑰密碼體制用以解決IMSI和AV泄露問題：

公鑰密碼體制的原理圖如圖2所示。

圖2 公鑰密碼體制

公鑰密碼算法采用一對(duì)密鑰，將加密和解密能力分開，其中一個(gè)密鑰是公開的，稱為公鑰，如圖2中的KP，用于加密；另一個(gè)密鑰是為用戶專用，因而是保密的，稱為私鑰，如圖2中的KS，用于解密。

在UE向MME發(fā)送IMSI時(shí)，利用HSS（接收方）的公鑰KPHSS加密IMSI，而在HSS接到認(rèn)證請(qǐng)求后利用自身私鑰KSHSS解密出UE的IMSI，并驗(yàn)證其合法性；同理，在HSS向UE發(fā)送消息時(shí)，利用UE的公鑰KPUE對(duì)發(fā)送的內(nèi)容（如AV）加密，UE在收到消息后利用自身私鑰KSUE進(jìn)行解密。這樣協(xié)議中傳輸?shù)南⒍家悦芪男问竭M(jìn)行傳輸，有效解決了IMSI和AV泄露而引起的危險(xiǎn)。

（2） 在網(wǎng)絡(luò)側(cè)建立允許接入IMSI白名單解決不法攻擊者惡意發(fā)送大量接入請(qǐng)求而導(dǎo)致的拒絕服務(wù)攻擊。在服務(wù)網(wǎng)絡(luò)側(cè)建立行為記錄機(jī)制，對(duì)UE在網(wǎng)絡(luò)側(cè)建立允許接入IMSI白名單，服務(wù)網(wǎng)絡(luò)只對(duì)白名單中的IMSI接入請(qǐng)求做出響應(yīng)，對(duì)惡意攻擊者的非法接入請(qǐng)求不予回應(yīng)，從而節(jié)省資源消耗，有效解決了拒絕服務(wù)攻擊。

（3） 利用Diffie?Hellman[6]密鑰交換算法解決公共密鑰長(zhǎng)期共存而導(dǎo)致的密鑰泄露問題：

在HSS驗(yàn)證完UE的IMSI的合法性之后，若合法，在計(jì)算AV之前，HSS隨機(jī)生成一個(gè)隨機(jī)數(shù)RHSS，并將RHSS保密存放，接著利用Diffie?Hellman算法計(jì)算出X=t^RHSS mod n，其中t為素?cái)?shù)，n為原根，并通過密鑰交換請(qǐng)求將X發(fā)送給MME。MME在收到密鑰交換請(qǐng)求后直接將其轉(zhuǎn)發(fā)給UE。在接收到請(qǐng)求后，UE隨機(jī)生成一個(gè)隨機(jī)數(shù)RUE，將其保密存放，并利用Diffie?Hellman算法計(jì)算KUE=X^RUE mod n，并計(jì)算Y=t^RUE mod n，將Y經(jīng)MME發(fā)送給HSS。HSS收到消息后，計(jì)算KHSS=Y^RHSS mod n。顯而易見，KUE=KHSS，這樣UE和HSS獲得共同的密鑰K。而在信道上監(jiān)聽的非法攻擊者只能獲得n，t，X，Y，而無法知道RHSS和RUE，從而無法計(jì)算出K。并且在每次用戶認(rèn)證時(shí)，公共密鑰都會(huì)更新，從而有效解決了公共密鑰長(zhǎng)期共存而引起的泄露問題。改進(jìn)方案E?EPS AKA的流程圖如圖3所示。

3 E?EPS AKA安全性能分析

（1） 機(jī)密性。實(shí)現(xiàn)了IMSI和認(rèn)證向量的加密傳輸。利用公鑰密碼體制加密用戶永久身份IMSI，IMSI以密文形式傳輸，這樣惡意入侵者很難通過監(jiān)聽信號(hào)獲得用戶IMSI信息，有效防止了攻擊者假冒用戶身份入網(wǎng)，從而的導(dǎo)致非法用戶訪問網(wǎng)絡(luò)攻擊；認(rèn)證向量組加密傳輸，避免了攻擊者通過竊聽鏈路獲得認(rèn)證向量AV，有效防止了攻擊者利用這些參數(shù)滲透到系統(tǒng)中，并偽裝HSS或MME來盜取安全數(shù)據(jù)，或者發(fā)起中間人攻擊來修改被傳送消息的內(nèi)容。

（2） 雙向認(rèn)證。實(shí)現(xiàn)用戶與歸屬網(wǎng)絡(luò)，訪問網(wǎng)絡(luò)的相互認(rèn)證。3GPP AKA協(xié)議中，網(wǎng)絡(luò)對(duì)用戶進(jìn)行了身份認(rèn)證，但用戶卻只對(duì)歸屬網(wǎng)絡(luò)（HSS）進(jìn)行了認(rèn)證，并沒有對(duì)訪問網(wǎng)絡(luò)（MME）進(jìn)行身份認(rèn)證。本方案利用數(shù)字簽名等公鑰加密技術(shù)，實(shí)現(xiàn)了MME與HSS之間的認(rèn)證和UE與MME之間的認(rèn)證，避免了因沒有對(duì)MME進(jìn)行認(rèn)證而導(dǎo)致潛在的中間人攻擊。

圖3 E?EPS AKA流程圖

（3） 不可否認(rèn)性。提供了不可否認(rèn)功能。利用信息發(fā)送方的私鑰對(duì)消息進(jìn)行了數(shù)字簽名，標(biāo)識(shí)了消息的來源，接收方只需利用發(fā)送方的公鑰對(duì)信息進(jìn)行解密，即可驗(yàn)證消息的來源，由于發(fā)送方的私鑰只有發(fā)送方自己知道，這樣有效防止了中間人攻擊，同時(shí)確保發(fā)送方不能抵賴曾發(fā)送過的消息。

（4） 在MME處引入了白名單，有效防止了拒絕服務(wù)攻擊；引入Diffie?Hellman密鑰交換機(jī)制來成K，使共享密鑰K能夠不斷更新，有效防止了共享密鑰K被破解的概率。E?EPS AKA與EPS AKA的安全性能比較如表1所示。

表1 E?EPS AKA與EPS AKA協(xié)議的安全功能比較

4 結(jié) 語

作為4G的主流技術(shù)之一，LTE的安全性受到極大關(guān)注。本文對(duì)LTE認(rèn)證與密鑰協(xié)商協(xié)議EPS AKA做了安全性分析，指出其存在的問題。并提出了引入公鑰密碼體制，解決IMSI及AV的明文傳送問題；在網(wǎng)絡(luò)側(cè)建立允許接入IMSI白名單解決不法攻擊者惡意發(fā)送大量接入請(qǐng)求而導(dǎo)致的拒絕服務(wù)攻擊的問題；提出了利用Diffie?Hellman密鑰交換算法生成UE和HSS公共密鑰K，以解決公共密鑰易泄露的問題。最后對(duì)提出的方案進(jìn)行了安全性能分析，并與EPS AKA做了比較。

參考文獻(xiàn)

[1] 李頻鐘，吳濤，康亮.3GPP 網(wǎng)絡(luò)接入安全的發(fā)展及趨勢(shì)[J].電信網(wǎng)技術(shù)，2011（12）：40?44.

[2] LEU F Y， YOU I， HUANG Y L， et al. Improving security level of LTE authentication and key agreement procedure [C]// Proceedings of 2012 IEEE Globecom Workshops. [S.l.]： IEEE， 2012： 1032?1036.

[3] 汪良辰.LTE 安全接入機(jī)制研究[D].西安：西安電子科技大學(xué)，2012.

[4] Third Generation Partnership Project， Technical Specification Group Services and System Aspects， 3GPP System Architecture Evolution （SAE）. Security architecture security， 3GPP TS 33.401 version V10.0.0 [R]. [S.l.]： SAE， 2011.

[5] FORSBERG D， HORN G， MOELLER W D， et al. LTE security [M]. [S.l.]： John Wiley & Sons， 2012.

[6] RESCORLA E. Diffie?Hellman key agreement method [J/OL]. [1999?06?21]. http：//www.ietf.org/rfc/rfc2631.txt.

[7] 張靜，艾渤，鐘章隊(duì).一種改進(jìn)的 LTE 網(wǎng)絡(luò)用戶身份認(rèn)證方法[J].電訊技術(shù)，2012，51（12）：87?91.

（3） 不可否認(rèn)性。提供了不可否認(rèn)功能。利用信息發(fā)送方的私鑰對(duì)消息進(jìn)行了數(shù)字簽名，標(biāo)識(shí)了消息的來源，接收方只需利用發(fā)送方的公鑰對(duì)信息進(jìn)行解密，即可驗(yàn)證消息的來源，由于發(fā)送方的私鑰只有發(fā)送方自己知道，這樣有效防止了中間人攻擊，同時(shí)確保發(fā)送方不能抵賴曾發(fā)送過的消息。

（4） 在MME處引入了白名單，有效防止了拒絕服務(wù)攻擊；引入Diffie?Hellman密鑰交換機(jī)制來成K，使共享密鑰K能夠不斷更新，有效防止了共享密鑰K被破解的概率。E?EPS AKA與EPS AKA的安全性能比較如表1所示。

表1 E?EPS AKA與EPS AKA協(xié)議的安全功能比較

4 結(jié) 語

作為4G的主流技術(shù)之一，LTE的安全性受到極大關(guān)注。本文對(duì)LTE認(rèn)證與密鑰協(xié)商協(xié)議EPS AKA做了安全性分析，指出其存在的問題。并提出了引入公鑰密碼體制，解決IMSI及AV的明文傳送問題；在網(wǎng)絡(luò)側(cè)建立允許接入IMSI白名單解決不法攻擊者惡意發(fā)送大量接入請(qǐng)求而導(dǎo)致的拒絕服務(wù)攻擊的問題；提出了利用Diffie?Hellman密鑰交換算法生成UE和HSS公共密鑰K，以解決公共密鑰易泄露的問題。最后對(duì)提出的方案進(jìn)行了安全性能分析，并與EPS AKA做了比較。

參考文獻(xiàn)

[1] 李頻鐘，吳濤，康亮.3GPP 網(wǎng)絡(luò)接入安全的發(fā)展及趨勢(shì)[J].電信網(wǎng)技術(shù)，2011（12）：40?44.

[2] LEU F Y， YOU I， HUANG Y L， et al. Improving security level of LTE authentication and key agreement procedure [C]// Proceedings of 2012 IEEE Globecom Workshops. [S.l.]： IEEE， 2012： 1032?1036.

[3] 汪良辰.LTE 安全接入機(jī)制研究[D].西安：西安電子科技大學(xué)，2012.

[4] Third Generation Partnership Project， Technical Specification Group Services and System Aspects， 3GPP System Architecture Evolution （SAE）. Security architecture security， 3GPP TS 33.401 version V10.0.0 [R]. [S.l.]： SAE， 2011.

[5] FORSBERG D， HORN G， MOELLER W D， et al. LTE security [M]. [S.l.]： John Wiley & Sons， 2012.

[6] RESCORLA E. Diffie?Hellman key agreement method [J/OL]. [1999?06?21]. http：//www.ietf.org/rfc/rfc2631.txt.

[7] 張靜，艾渤，鐘章隊(duì).一種改進(jìn)的 LTE 網(wǎng)絡(luò)用戶身份認(rèn)證方法[J].電訊技術(shù)，2012，51（12）：87?91.

（3） 不可否認(rèn)性。提供了不可否認(rèn)功能。利用信息發(fā)送方的私鑰對(duì)消息進(jìn)行了數(shù)字簽名，標(biāo)識(shí)了消息的來源，接收方只需利用發(fā)送方的公鑰對(duì)信息進(jìn)行解密，即可驗(yàn)證消息的來源，由于發(fā)送方的私鑰只有發(fā)送方自己知道，這樣有效防止了中間人攻擊，同時(shí)確保發(fā)送方不能抵賴曾發(fā)送過的消息。

（4） 在MME處引入了白名單，有效防止了拒絕服務(wù)攻擊；引入Diffie?Hellman密鑰交換機(jī)制來成K，使共享密鑰K能夠不斷更新，有效防止了共享密鑰K被破解的概率。E?EPS AKA與EPS AKA的安全性能比較如表1所示。

表1 E?EPS AKA與EPS AKA協(xié)議的安全功能比較

4 結(jié) 語

作為4G的主流技術(shù)之一，LTE的安全性受到極大關(guān)注。本文對(duì)LTE認(rèn)證與密鑰協(xié)商協(xié)議EPS AKA做了安全性分析，指出其存在的問題。并提出了引入公鑰密碼體制，解決IMSI及AV的明文傳送問題；在網(wǎng)絡(luò)側(cè)建立允許接入IMSI白名單解決不法攻擊者惡意發(fā)送大量接入請(qǐng)求而導(dǎo)致的拒絕服務(wù)攻擊的問題；提出了利用Diffie?Hellman密鑰交換算法生成UE和HSS公共密鑰K，以解決公共密鑰易泄露的問題。最后對(duì)提出的方案進(jìn)行了安全性能分析，并與EPS AKA做了比較。

參考文獻(xiàn)

[1] 李頻鐘，吳濤，康亮.3GPP 網(wǎng)絡(luò)接入安全的發(fā)展及趨勢(shì)[J].電信網(wǎng)技術(shù)，2011（12）：40?44.

[2] LEU F Y， YOU I， HUANG Y L， et al. Improving security level of LTE authentication and key agreement procedure [C]// Proceedings of 2012 IEEE Globecom Workshops. [S.l.]： IEEE， 2012： 1032?1036.

[3] 汪良辰.LTE 安全接入機(jī)制研究[D].西安：西安電子科技大學(xué)，2012.

[4] Third Generation Partnership Project， Technical Specification Group Services and System Aspects， 3GPP System Architecture Evolution （SAE）. Security architecture security， 3GPP TS 33.401 version V10.0.0 [R]. [S.l.]： SAE， 2011.

[5] FORSBERG D， HORN G， MOELLER W D， et al. LTE security [M]. [S.l.]： John Wiley & Sons， 2012.

[6] RESCORLA E. Diffie?Hellman key agreement method [J/OL]. [1999?06?21]. http：//www.ietf.org/rfc/rfc2631.txt.

[7] 張靜，艾渤，鐘章隊(duì).一種改進(jìn)的 LTE 網(wǎng)絡(luò)用戶身份認(rèn)證方法[J].電訊技術(shù)，2012，51（12）：87?91.