2024年4月26日发(作者:)
LTE网络切换密钥更新方案分析与改进
朱诗兵;周赤;李长青
【摘 要】LTE用户切换时的密钥管理在很大程度上关系着用户安全,切换密钥管理
包括密钥的生成、分发、更新和撤销.对现有长期演进(Long Term Evolution,LTE)
网络切换密钥管理更新机制进行简要介绍,包括X2和S1切换密钥更新方案.针对
X1切换仅有两跳前向密钥隔离的安全缺陷,借鉴S1切换方案设计思想,提出一跳前
向密钥隔离的X2切换密钥更新方案(OFKS-X2),并对OFKS-X2密钥更新方案进行
了安全性和实用性分析.结果表明,OFKS-X2密钥更新方案能够提供一跳前向密钥隔
离,对协议有效性影响不大,且用户的消息工作量没有变化,网络侧的消息处理复杂度
略有增加,用户侧计算量基本不变,网络侧计算量略有增加.
【期刊名称】《无线电工程》
【年(卷),期】2017(047)001
【总页数】6页(P10-15)
【关键词】LTE;切换密钥管理;X1切换;S1切换;一跳前向密钥隔离
【作 者】朱诗兵;周赤;李长青
【作者单位】装备学院信息装备系,北京101416;陆军航空兵学院指挥系,北京
101100;装备学院信息装备系,北京101416
【正文语种】中 文
【中图分类】TN929.5
LTE技术是我国主推的第4代移动通信技术,尤其是其中的TDD部分(即TD-
LTE[1-2])。一方面是由于我国拥有自主研发知识产权,另一方面是由于TD-LTE
可以与TD-SCDMA很好地兼容,具有广阔的市场前景,得到我国政府和主要通信
厂商的大力支持[3-4]。尽管LTE的安全机制相对前3代移动通信技术有所改善,
但仍然无法完全满足某些对安全性有较高要求的使用场合,需要进行适应性改进。
其中用户切换机制常常成为攻击者的目标,而LTE切换密钥管理与切换的安全性
密切相关。
本文首先介绍LTE的切换密钥管理[5-6],包括X2切换密钥更新方案和S1切换密
钥更新方案,对LTE切换密钥更新方案进行安全性分析;针对X2切换密钥更新方
案只能提供两跳前向密钥隔离这一安全缺陷,借鉴S1切换密钥更新方案的思想,
提前MME参与协议的时间,使得MME在UE接到源基站发送来的切换到目标基
站的命令之前,就为目标基站提供新鲜的密钥材料。在此基础上提出一跳前向密钥
分离OFKS-X2(One-hop Forward Key Separation,OFKS)密钥更新方案;最后
针对2类攻击模型对OFKS-X2密钥更新方案的安全性、有效性进行分析。
1.1 LTE切换中的密钥推演
LTE中有2种切换类型:X2切换[7]和S1切换[8],这是以切换时主要切换信令传
输时经由的接口命名的,LTE密钥管理[9]如图1所示。当用户移动时,可能会从
一个eNB(源eNB)移动到同一个MME管理下的另一个eNB(目标eNB),这种移
动会导致用户在2个eNB之间进行切换,该切换是通过X2接口实现的,因此这
种切换被称为X2切换。当源eNB和目标eNB之间不存在X2接口连接,或者源
eNB发起的X2切换没有成功时,或者源eNB通过一些动态信息会做出基于S1
接口发起的切换决定,这种切换称为S1切换。
密钥更新材料是由移动性管理实体[10](Mobility Management Entity,MME)和
用户设备[11](User Equipment,UE)基于下一跳密钥(Next-Hop key,NH)和本
地主密钥KASME生成的。密钥更新步骤如下:
NH0=KeNB-0=KDF(KASME,NASuplinkCOUNT),
NH1=KDF(KASME,KeNB-0),
NHNCC+1=KDF(KASME,NHNCC)。
首先AS安全建立,MME和UE利用KASME推算出KeNB和临时参数NH。并
且每个NH参数都有一个NH链计数器(NCC)与其相对应。初始的KeNB-0由
KASME和NASuplinkCOUNT(上行NAS COUNT)推演出来,对应的NCC设为
0。同时MME和UE也利用KASME和KeNB-0将NH1推算出来,对应的NCC
值为1。
NCC是一个3位的NH的密钥索引(其值为0~7),通过切换命令信令发送到UE。
从UE的角度,NCC的值不会减小,因为UE在推演NH值时不能倒退,而且没
有存储旧的NH值。所以,如果UE在切换命令中收到的NCC值比当前使用的
KeNB的NCC值要大,UE会在同步{NH,NCC}参数值之后,进行垂直推演(式(5))。
否则,UE会进行水平推演(式(4))。
式(4)表示水平推演过程,在源基站不存在可用的{NH,NCC}对时运行。式(5)表示
垂直推演过程,此时源基站(X2切换)或目标基站(S1切换)中存在可用的{NH,NCC}
对,并可以利用它推演出新鲜的KeNB*。
1.2 LTE中的切换密钥更新方案
LTE的X2切换密钥更新方案流程[12]如图2所示。
具体的流程描述如下:
(0a)~(0e) UE和HSS初始化下一跳密钥NH,在UE建立初始化AS上下文时运
行。MME通过S1AP(S1:S1接口;AP:Application Protocol,应用协议)将
NH和NCC通初始化上下文请求传送给eNB。
(1~5) UE向源eNB发送测量报告消息;源eNB做出进行切换判决并做出切换决
定;源eNB向目标eNB发送包含NCC的切换请求消息;目标eNB向源eNB返
回包含目标PCI的切换请求应答消息。在收到切换请求应答消息之后,源eNB由
NH,目标PCI和EARFCN-DL计算出KeNB*。计算KeNB*子过程如图3所示。
(6~10) 源eNB将计算出的KeNB*发送给目标eNB,此消息还包含当前的
RRC/UP算法标识。目标eNB更新KeNB,并推算出用户平面(User Plane,UP)
和无线资源控制(Radio Resource Control,RRC)密钥。KeNB更新过程如图4所
示。
目标eNB向源eNB发送切换命令消息,包含目标eNB为用户生成的新的小区无
线网络的临时标识符(Cell Radio Network Temporary Identifier,C-RNTI)及选
定的RRC/UP算法。收到切换命令消息后,源eNB向用户发送切换命令,包含
NCC值,目标PCI,EARFCN-DL和目标eNB选定的算法标识。UE进行NH同
步,计算KeNB*,更新KeNB并推导UE、RRC密钥。NH同步子过程如图5所
示。
(11~15) UE存储新的NH值,即NH=NH*;NCC=Temp-NCC,并释放临时变
量NH*和Temp-NCC。UE向目标eNB发送切换确认消息。目标eNB向MME
发送路径切换消息,以更新数据路由,此消息包含NCC值。MME向服务网关(S-
GW)发送用户面更新请求。MME计算NCC[+1]=NCC+1,并进行NH同步。
(16~19) 服务网关向MME返回用户面更新应答消息。MME向目标eNB发送路
径切换应答消息,以提供NH*[+1]和NCC[+1]值用于下一次切换。MME存储新
的NH值,即令NH=NH*[+1];NCC=NCC[+1]。目标eNB向源eNB发送资源
释放消息,以使源eNB释放相应资源。
LTE的S1切换密钥更新方案流程如图6所示。NH=KDF(KASME,最新NCC)。
具体流程描述如下:
向源eNB发送测量报告消息;
2. 源eNB进行切换判决并作出切换决定;
3. 源eNB向MME发送切换需求消息;
4a.、4b. 收到切换需求消息后,MME利用本地存储数据计算新的{NH,NCC}并存
储;
5. MME向目标eNB发送S1切换请求消息,包含{NH,NCC}对;
6. 在收到切换请求消息之后,目标eNB通过切换请求消息中的NH,目标PCI和
EARFCN-DL计算出KeNB*,并推导出UP、RRC密钥,其中KeNB*计算过程与
X1切换中的相同;
7. 目标eNB向MME发送切换请求应答消息,包含目标PCI;
8. MME向源eNB发送切换命令消息,包含NCC和目标PCI;
9. 收到切换命令消息后,源eNB向用户发送切换命令消息,包含NCC值,目标
PCI,EARFCN-DL和目标eNB选定的算法标识;
10a.~10c. UE进行NH同步,计算KeNB*,更新KeNB并推导UE、RRC密钥。
NH同步子过程和KeNB*计算子过程与X1切换中相同。步骤11~19与X2切换
中的步骤11~19相同。
LTE中,源基站在计算目标基站密钥KeNB*时使用单向函数作为KDF,这样目标
基站就无法推演出UE在源基站中使用的密钥KeNB。因此LTE可以提供一跳后向
密钥隔离。
值得注意的是,在S1切换中MME推演出新鲜的{NH,NCC}对,并将其直接提供
给目标基站,这样源基站就无法得知KeNB*,即S1切换可以提供一跳前向密钥
隔离。而X2切换只能提供两跳前向密钥隔离,这是由于X2切换中,源基站知道
{NH,NCC}对和KeNB*,但是在两跳之后,由于源基站无法获知X2切换之后路径
转换信令中提供的{NH,NCC}对,源基站将无法获知下一个KeNB*,即KeNB**。
LTE推荐的S1切换密钥更新方案可以提供一跳前向隔离,而X2切换只能提供两
跳前向隔离,这将为LTE网络安全[13-14]埋下隐患,需对X1切换密钥更新方案
进行相应改进。
OFKS-X2密钥更新方案设计构想:源eNB无法获知目标eNB推导新密钥时所需
的全部密钥材料;MME在UE接到源基站发送的切换到目标基站的命令之前,为
目标基站提供新鲜的密钥材料;直接在目标eNB中完成KeNB*的计算并更新,而
不再通过源eNB传送。
借鉴S1切换密钥更新方案,在LTE建议的X2切换密钥更新方案的基础上,从设
计思路出发,本文设计的OFKS-X2密钥更新方案的实现过程如图7所示。
由图7可以看出,OFKS-X2密钥更新方案实现了最初的设计思路想,相比原方案,
OFKS-X2密钥更新方案的实现过程做出了以下改变:
① 增加了以下步骤:
步骤4*在收到源eNB发来的切换请求消息后,目标eNB向MME发送密钥更新
请求消息,包含NCC。这样就如S1密钥更新方案一样,MME在切换之前就收到
了路径切换的通知。
步骤5*在收到目标eNB发来的密钥更新请求消息后,MME将收到的NCC加1,
进行一次NH同步,并储存新鲜的{NH,NCC}对。
此步骤使得本方案中计算KeNB*的输入与LTE方案中的不同,LTE方案计算
KeNB*的输入是源eNB存储的NH值,而本方案的输入是原NCC+1,这是实现
一跳前向密钥隔离的关键。
步骤6*MME将新鲜的{NH,NCC}对通过密钥更新请求应答消息返回给目标eNB。
通过步骤5和步骤6,MME就在UE接到源基站发送来的切换到目标基站的命令
之前,为目标基站提供新鲜的密钥材料。
步骤7*在收到MME发来的密钥更新请求应答消息后,目标eNB由收到的NH,
目标PCI和EARFCN-DL计算出KeNB*,更新KeNB并推算出UP和RRC密钥。
更新KeNB的过程跟EPS-AKA相同。
这样就直接在目标eNB中完成了KeNB**的计算,而不再通过源eNB传送。
② 减去了LTE原有X2密钥更新方案中的步骤4、步骤5、步骤6和步骤7。其中
步骤5~7由步骤7*取代。这样源eNB只能通过目标eNB发来的切换请求应答消
息得知最新的NCC值,但由上述公式知道,推导NH值需要KASME,而只有UE
和MME知道KASME,其他实体无法获知,包括源eNB,这样源eNB无法获知
目标eNB推导新密钥时所需的全部密钥材料(即无法获知最新的NH值)。
除上述改变外,OFKS-X2密钥更新方案保持LTE原有X2密钥更新方案的其他步
骤不变,最大限度地继承了原有方案的密钥和命令消息。
4.1 安全性分析
针对2类攻击模型对本方案的安全性进行分析。
① 攻击者只能获取空口信号。在这种情况下,攻击者可以得到所有的空口信号,
并获取其中的密钥材料,包括C-RNTI、PCI、最新的NCC以及目标eNB选定的
接入层密码算法标识。新密钥的推导绑定了最新NH、C-RNTI、PCI等参数,即
KeNB**=KDF(KeNB*,C-RNTI)=KDF(KDF(最新NH,PCI),C-RNTI),最新
NH=KDF(KASME,最新NCC),其中的KASME只为UE和MME所知,并且不
会在空口传输,因此只能获取空口信号的攻击者是无法获知最新NH的,也就无
法推导出新的KeNB**。因此本方案可以有效对抗此类攻击。
② 攻击者除能获取空口信号,还能完全控制源eNB。此种情况下,攻击者不仅能
够获得空口信号中的所有密钥材料,还能够获取存储在源eNB中的密钥材料,包
括当前的KeNB、NH、PCI和C-RNTI。跟模型一中情况一样攻击者仍不能得到
KASME,攻击者是无法获知最新NH的,也就无法推导出新的KeNB**。因此本
方案可以有效对抗此类攻击。
4.2 有效性分析
下面以协议的执行效率作为标准,对OFKS-X2密钥更新方案性能进行分析。相比
于现有LTE方案:
① 用户的消息工作量没有变化,网络侧的消息处理复杂度略有增加。
和现有的LTE方案相比,本方案在目标eNB和MME之间增加了2条消息:一条
是目标eNB向MME发送的密钥更新请求消息(图7中消息4*),为MME提供
NCC,以供其进行NH同步,产生新鲜的密钥材料;另一条是MME向目标eNB
发送的密钥更新请求应答消息(图7中消息6*),为目标eNB提供新鲜密钥材料,
以供其生成的新的KeNB。增加了网络域消息处理复杂度。但是,本方案没有变动
用户和eNB之间交互的消息流,从用户角度来看,本方案消息工作量没有变化,
并且获得了更强的安全保护。
② 用户侧的计算量基本不变,网络侧的计算量略有增加。
和现有的LTE方案相比,本方案用户侧的密钥推导过程依然经历了4个子过程:
NH同步、存储新的NH值、计算KeNB*、更新KeNB并推导UP、RRC密钥,
因此本方案中用户侧的计算量与LTE方案相比基本没变。目标eNB的计算量略有
增加,这是因为本方案中目标eNB中增加了计算KeNB*的过程(图7中消息7*)。
MME的计算量比LTE方案略有增加,这是由于为了实现一跳前向密钥隔离,相对
原方案,本方案中MME在协议开始时增加了一次NH同步的过程(图7中步骤5)。
综上所述,虽然为实现一跳前向密钥隔离,OFKS-X2密钥更新方案增加了网络域
的消息处理复杂度,但是从用户角度看,本方案在消息工作量没有变化的情况下,
提供了更强的安全保护。而且,增加2条消息传输对于网络域来说是可以承受的。
本文介绍了LTE的切换密钥管理机制,对LTE切换密钥更新方案进行了安全性分
析。经分析可知X2切换密钥更新方案只能提供两跳前向密钥隔离。借鉴S1切换
密钥更新方案的设计思想,提前了MME参与协议的时间,提出了能够提供一条
前向密钥隔离的X2密钥更新方案——OFKS-X2密钥更新方案。通过2类攻击模
型对所提方案的安全性进行了分析,证明OFKS-X2密钥更新方案能够提供一跳前
向密钥隔离。以协议的执行效率作为标准,对所提方案的有效性进行分析,分析结
果表明:① 用户的消息工作量没有变化,网络侧的消息处理复杂度略有增加;②
用户侧计算量基本不变,网络侧计算量略有增加。
【相关文献】
[1] 沈 嘉,索士强,全海洋,等.3GPP长期演进(LTE)技术原理与系统设计[M].北京:人民邮电出版
社,2008.
[2] SESIA S,TOUFIK I,BAKER :The UMTS Long Term Evolution[M].New York:John
Wiley & Sons,2009.
[3] 杜金宇,程 锋,蒋 群,等.LTE全球主流运营商及产业链发展动态[J].电信工程技术与标准
化,2012,25(7):17-22.
[4] 李进良.加速TD-LTE全国4G网建设共同促进全民信息消费[J].移动通信,2014,38(1):17-20.
[5] 曾 勇.LTE/SAE密钥管理技术研究[J].通信技术,2009(7):97-100.
[6] 胡国华,袁树杰,谭 敏.4G移动通信技术与安全缺陷分析[J].通信技术,2008,41(7):155-157.
[7] 李泰成,何 莉,吴 槟.具有一跳前向安全性的X2切换密钥更新协议[J].计算机系统应
用,2011,20(8):67-71.
[8] 赵 伦.LTE系统中的S1切换技术研究与设计[D].武汉:武汉邮电科学研究院,2012.
[9] 3GPP TS33.401 V9.0.0 (2009-06).Security Architecture(Release 9) [S],2009.
[10] 许盛宏,李力卡,陈庆年.LTE网络MME的安全容灾方案研究[J].移动通信,2015,39(22):9-13.
[11] 楚佩佳.基于LTE系统的UE随机接入过程研究[D].杭州:杭州电子科技大学,2011.
[12] FORSBERG D,HORN G,MOELLER W D,et Security[M].New York:John Wiley &
Sons,2012.
[13] 汪良辰.LTE安全接入机制研究[D].西安:西安电子科技大学,2012.
[14] 高 枫,李一喆,马 铮,等.LTE网络安全部署研究[J].移动通信,2014,38(23):25-28.
朱诗兵 男,(1969—),博士,教授。主要研究方向:信息与通信系统。
周 赤 女,(1989—),硕士研究生。主要研究方向:信息与通信系统。
发布评论