LTE NAS 安全相關(guān)過程

1、中國科學技術(shù)大學自動化系created by 冉泳屹LTE安全框架認證和密鑰協(xié)商AKA過程關(guān)于卡的使用，Rel-99及其后版本的UICC上USIM應(yīng)用都應(yīng)能接入LTE，但應(yīng)保證USIM應(yīng)用沒有使用TS33.102附錄F中定義的私有AMF分離比特位（如果是LTE，該bit位的值為1）。2G的SIM或者UICC上的SIM不允許接入E-UTRA。關(guān)于終端的使用，具備LTE無線能力的ME應(yīng)支持TS 31.102 中定義的USIM-ME接口。如果網(wǎng)絡(luò)類型為LTE，AUTN中AMF字段的“分離比特位”應(yīng)置1，向ME指明認證向量僅用于EPS上下文的AKA認證。如果“分離比特位”置0，向量僅能用于非EPS上下

2、文（如GSM、UMTS）的AKA認證。對于“分離比特位”為1的認證向量，AKA認證過程產(chǎn)生的密鑰CK和IK應(yīng)駐留在HSS中。待接入LTE的ME應(yīng)在認證期間檢查AUTN中AMF字段的“分離比特位”是否置1?！胺蛛x比特位”是AUTN中AMF字段的最低位，不應(yīng)再被用于其它用途。EPS AKA將產(chǎn)生生成用戶面UP，RRC和NAS加密密鑰以及RRC、NAS完整性保護密鑰的關(guān)鍵材料。MME通過ME發(fā)送選擇的鑒權(quán)向量中的RAND和用于鑒權(quán)網(wǎng)絡(luò)的AUTN給USIM。同時也包含用于識別KASME的KSIASME。當收到上述消息，USIM通過驗證AUTN是否能被接受來判斷鑒權(quán)向量是否是最新的。如果是，USIM將計

3、算一個響應(yīng)RES。USIM將計算CK和IK發(fā)送給ME。如果驗證失敗，USIM指示出錯原因給ME且在同步錯誤的情況下傳遞AUTS參數(shù)。在AUTN和AMF驗證成功的情況下，UE將發(fā)送包含RES的響應(yīng)消息給網(wǎng)絡(luò)。在這種情況下，ME將根據(jù)CK和IK計算KASME，以及用KDF（Key Derivation Function）計算服務(wù)網(wǎng)絡(luò)的標識（SN id）。當從KASME獲取的密鑰被成功使用，SN id綁定將鑒定服務(wù)網(wǎng)絡(luò)標識。否則，UE將發(fā)送用戶鑒權(quán)拒絕消息并指示錯誤原因。在AUTN同步錯誤的情況下，需要包含USIM提供的AUTS。MME將檢查UE發(fā)送的RES和XRES是否一樣。如果是則鑒權(quán)成功。如果

4、不是或者收到UE的錯誤響應(yīng)，則MME可能響UE發(fā)起認證請求或者鑒權(quán)。圖1描述了基于UMTS AKA（見TS 33.102）的EPS AKA認證過程。UE和HSS共享以下密鑰：K是存儲在認證中心AuC中和UICC的USIM上的永久密鑰。CK，IK是AKA認證過程中在AuC和USIM上推衍得到的一對密鑰。CK和IK應(yīng)視其所處不同上下文中（用在EPS安全上下文中還是其他的安全上下文中）區(qū)別對待。作為認證與密鑰協(xié)商的結(jié)果，UE和MME（即EPS環(huán)境下的ASME）應(yīng)產(chǎn)生并共享一個中間密鑰KASME。具體細節(jié)見HSS向服務(wù)網(wǎng)絡(luò)分發(fā)認證向量的過程。圖1 EPS用戶認證（EPS AKA）AKA成功建立后，UE

5、和MME都應(yīng)能創(chuàng)建部分本地EPS安全上下文。該上下文應(yīng)覆蓋現(xiàn)有的非當前EPS安全上下文。HSS向服務(wù)網(wǎng)絡(luò)分發(fā)認證向量的過程該過程的目的是從HSS提供給MME一個或者多個EPS鑒權(quán)向量(RAND, AUTN, XRES, KASME)來執(zhí)行用戶鑒權(quán)。每一個EPS鑒權(quán)向量都能被用來鑒定UE。由于已經(jīng)通過使用更復(fù)雜的密鑰層次減少了執(zhí)行AKA過程的需求（特別是，業(yè)務(wù)請求可使用存儲的KASME認證，而不需要執(zhí)行AKA），建議MME一次向HSS僅申請獲取一個EPS認證向量。圖2 從HE向MME分發(fā)認證數(shù)據(jù)HSS根據(jù)CK、IK和SN標識產(chǎn)生密鑰KASME。MME向HSS請求鑒權(quán)向量時應(yīng)包括IMSI、服務(wù)網(wǎng)絡(luò)

6、標識（即MCC+MNC）、網(wǎng)絡(luò)類型（即LTE）。如果同步失敗，MME還應(yīng)在請求中包含RAND和AUTS。此時HE應(yīng)在返回新的認證向量之前檢驗AUTS參數(shù)。接收到來自MME的authentication data request時，如果HE已經(jīng)預(yù)先計算好EPS認證向量，則直接從HSS數(shù)據(jù)庫中提取，否則按要求計算。HSS向MME返回鑒權(quán)響應(yīng)（Authentication data response），提供被請求信息。若請求多個EPS認證向量，則按向量序列號依次返回。MME應(yīng)能識別認證向量的順序，并且依照序列號的次序按順序使用向量。使用永久身份辨別用戶身份的過程當服務(wù)網(wǎng)絡(luò)不能通過臨時身份標識（GUT

7、I）識別用戶時，服務(wù)網(wǎng)絡(luò)應(yīng)調(diào)用用戶身份辨別機制。圖3描述的是通過用戶永久身份（IMSI）在無線通道上識別用戶的機制。圖3 用戶身份查詢EPS密鑰等級密鑰等級及生成LTE/SAE系統(tǒng)中的密鑰應(yīng)包括接入層和非接入層的加密和完整性保護密鑰，長度為128比特。為長遠發(fā)展，網(wǎng)絡(luò)接口還應(yīng)準備支持256位的密鑰。保護UP、NAS和AS的密鑰的推衍以它們各自使用的安全算法為輸入?yún)?shù)。圖4 LTE的密鑰等級架構(gòu)LTE系統(tǒng)中應(yīng)使用密鑰等級（見圖4），包括以下密鑰：KeNB， KNASint， KNASenc， KUPenc， KRRCint和KRRCenc。- KeNB是由ME和MME從KASME推衍產(chǎn)生的密鑰，

8、或是由ME和目標eNB產(chǎn)生的密鑰。非接入層通信密鑰：- KNASint是由ME和MME從KASME和完整性算法標識推衍產(chǎn)生的對非接入層信令進行完整性保護的密鑰。- KNASenc是由ME和MME從KASME和加密算法標識推衍產(chǎn)生的對非接入層信令進行加密保護的密鑰。用戶平面通信密鑰：- KUPenc是由ME和eNB從KeNB和加密算法標識推衍產(chǎn)生的對用戶平面數(shù)據(jù)進行加密保護的密鑰。RRC通信密鑰：- KRRCint是由ME和eNB從KeNB和完整性算法標識推衍產(chǎn)生的對無線資源控制平面信令進行完整性保護的密鑰。- KRRCenc是由ME和eNB從KeNB和加密算法標識推衍產(chǎn)生的對無線資源控制平面信

9、令進行加密保護的密鑰。中間密鑰：- NH是由ME和MME推衍產(chǎn)生的提供前向安全的密鑰（詳見5.3）。- KeNB*是ME和eNB在密鑰推衍過程中產(chǎn)生的密鑰（詳見5.3）。圖5從網(wǎng)絡(luò)節(jié)點角度給出了不同密鑰間的相關(guān)性及其推衍過程。圖6給出了ME內(nèi)密鑰的對應(yīng)關(guān)系和推衍過程。KDF的兩虛線輸入項表示按密鑰推衍條件選取其中一個作為輸入項。圖5 LTE系統(tǒng)中網(wǎng)絡(luò)節(jié)點的密鑰分發(fā)和推衍方案。圖6 LTE系統(tǒng)中ME的密鑰分發(fā)和推衍方案如圖5和6所示，KASME、KeNB和NH的長度都為256比特。256位NAS、UP和RRC密鑰都是分別從KASME和KeNB推衍產(chǎn)生的。如果NAS、UP和RRC的加密算法或完整性

10、算法要求128位輸入密鑰，則截斷現(xiàn)有密鑰，取其低128位（如圖5和6中示例）。其中，KASME應(yīng)由密鑰組標識eKSI來識別。eKSI可以是KSIASME類型或KSISGSN類型。eKSI應(yīng)和KASME及臨時身份標識GUTI（若有）一起存儲在UE和MME中。密鑰組標識KSIASME與EPS AKA認證過程推衍產(chǎn)生的KASME相關(guān)聯(lián)。它由MME分配，經(jīng)認證請求消息發(fā)送至移動終端，并同KASME一起存儲在終端。密鑰組標識KSISGSN與inter-RAT移動過程中從UMTS密鑰推衍產(chǎn)生的映射KASME相關(guān)聯(lián)。KSISGSN是在LTE空閑模式移動過程中或從GPRS/TD切換至LTE過程中，由ME和MM

11、E分別推衍映射KASME時產(chǎn)生的。KSISGSN和映射KASME存儲在一起。eKSI格式應(yīng)能區(qū)分接收到的參數(shù)是KSIASME類型還是KSISGSN類型。eKSI格式應(yīng)包含一值域（eKSI格式參見3GPP TS 24.301）。KSIASME和KSISGSN格式相同。KSIASME和KSISGSN的值域都為3比特，允許7個值來標識不同的密鑰組。在UE側(cè)，值111表示沒有有效KASME。從網(wǎng)絡(luò)發(fā)送到移動終端的eKSI的111值為保留值，未作定義。HSS產(chǎn)生鑒權(quán)向量HSS生成鑒權(quán)向量的示意圖：鑒權(quán)相關(guān)量的產(chǎn)生說明（參考TS 33.102）：-a message authentication code

12、 MAC = f1K(SQN | RAND | AMF) where f1 is a message authentication function;-an expected response XRES = f2K (RAND) where f2 is a (possibly truncated) message authentication function;-a cipher key CK = f3K (RAND) where f3 is a key generating function;-an integrity key IK = f4K (RAND) where f4 is a ke

13、y generating function;-an anonymity key AK = f5K (RAND) where f5 is a key generating function or f5 0.Finally the authentication token AUTN = SQN symbol 197 f Symbol s 10 AK | AMF | MAC is constructed.USIM產(chǎn)生鑒權(quán)相關(guān)量相關(guān)量的說明（參考TS 33.102）：Upon receipt of RAND and AUTN the USIM first computes the anonymity

14、key AK = f5K (RAND) and retrieves the sequence number SQN = (SQN symbol 197 f Symbol s 10 AK) symbol 197 f Symbol s 10 AK.Next the USIM computes XMAC = f1K (SQN | RAND | AMF) and compares this with MAC which is included in AUTN. If they are different, the user sends user authentication reject back t

15、o the VLR/SGSN with an indication of the cause and the user abandons the procedure. In this case, VLR/SGSN shall initiate an Authentication Failure Report procedure towards the HLR as specified in section 6.3.6. VLR/SGSN may also decide to initiate a new identification and authentication procedure t

16、owards the user.Next the USIM verifies that the received sequence number SQN is in the correct range.If the USIM considers the sequence number to be not in the correct range, it sends synchronisation failure back to the VLR/SGSN including an appropriate parameter, and abandons the procedure.The sync

17、hronisation failure message contains the parameter AUTS. It is AUTS = Conc(SQNMS ) | MACS. Conc(SQNMS) = SQNMS f5*K(RAND) is the concealed value of the counter SQNMS in the MS, and MACS = f1*K(SQNMS | RAND | AMF) where RAND is the random value received in the current user authentication request. f1*

18、 is a message authentication code (MAC) function with the property that no valuable information can be inferred from the function values of f1* about those of f1, . , f5, f5* and vice versa. f5* is the key generating function used to compute AK in re-synchronisation procedures with the property that

19、 no valuable information can be inferred from the function values of f5* about those of f1, f1*, f2, . , f5 and vice versa.f函數(shù)相關(guān)f函數(shù)的定義可以參看協(xié)議TS 35.201TS 35.209。KDF函數(shù)TS 33.401定義了以下KDF：推衍密鑰(KDF)=HMAC-SHA-256(Key, S)HMAC-SHA-256參考：10 IETF RFC 2104 (1997): HMAC: Keyed-Hashing for Message Authentication.1

20、1 ISO/IEC 10118-3 (2004): Information Technology - Security techniques - Hash-functions - Part 3: Dedicated hash-functions.輸入?yún)?shù)及其長度值應(yīng)按如下規(guī)則連接成一個字符串S：每個輸入?yún)?shù)的長度應(yīng)被編碼為兩個字節(jié)長的字符串：輸入?yún)?shù)Pi的字節(jié)數(shù)以數(shù)字K表示，范圍在0，65535之間；Li是一個2字節(jié)的數(shù)，代表寫入基數(shù)2的數(shù)字K，使用特殊的位排序。Li中任何未使用的最高有效位將置零。例如：如果Pi包含258字節(jié)，那么Li將是一個2字節(jié)的比特串(0000000100000010)

21、2，或者十六進制0X01 0X02。給定一個非負整數(shù)j表示Pi中的編碼值，通過將值j寫入基數(shù)2來形成Pi。Pi的最小有效位將等于j的最小有效位。Pi中任何未使用的最高有效位應(yīng)置零，以滿足Li定義的字節(jié)長度。例如：如果Pi是一個值為259的整數(shù)，且長度值是2個字節(jié)，則Pi的二進制表示為(0000000100000011)2，或十六進制表示為0X01 0X03。字符串S將由n個輸入?yún)?shù)組成，如下所示：S = FC | P0 | L0 | P1 | L1 | P2 | L2 | P3 | L3 |. | Pn | Ln其中，F(xiàn)C為單個字節(jié)，用于區(qū)分不同的算法類型，P0Pn為n個輸入?yún)?shù)編碼值，L0L

22、n為2字節(jié)值，表示相應(yīng)的P0Pn的長度。最終的輸出即為KDF根據(jù)根密鑰Key以及字符串S計算得到的推衍密鑰。本文檔定義了以下KDF：推衍密鑰=HMAC-SHA-256(Key, S)。 所有EPS中的推衍密鑰應(yīng)使用本定義中的密鑰推衍功能（KDF）。本節(jié)定義了KDF輸入?yún)?shù)字符串S（與相關(guān)密鑰一起輸入KDF）的設(shè)置。對于不同用途的KDF，其輸入?yún)?shù)S的定義不同。FC值的分配FC的數(shù)字空間的使用由TS33,.220控制，其取值范圍在0 x10 0 x1F。UE中各密鑰生成KASME1）定義KASME 是AKA過程中，在終端和HSS中由CK， IK 推衍產(chǎn)生的中間密鑰，用于推衍產(chǎn)生其他NAS和AS密

23、鑰。2）存儲要求UE應(yīng)把EPS NAS安全上下文存在安全可靠的非易失性存儲器中，包括EPS AKA認證過程產(chǎn)生的KASME。如果USIM支持EMM （EPS移動管理）參數(shù)存儲，ME應(yīng)把EPS NAS 安全上下文（包括KASME 和KSIASME）存在USIM上。否則ME 應(yīng)把EPS NAS 安全上下文存在安全可靠的非易失性存儲器中。不應(yīng)以任何方式被泄漏。3）生成要求KASME = HMAC-SHA-256 （Key， S）Key = （CK|IK）S = FC | P0 | L0 | P1 | L1FC = 0 x10，P0 = PLMN ID，L0 = PLMN ID的長度 （i.e. 0

24、x00 0 x03），P1 = SQN AKL1 =SQN AK的長度 （i.e. 0 x00 0 x06） 注： UISM不應(yīng)向ME發(fā)送單獨的SQN值和AK值。ME接收到的是AUTN中提取的SQN和AK的異或值。KNASenc1）定義KNASenc是用于對非接入層通信進行加密的密鑰。2）存儲要求存儲在ME中，不應(yīng)以任何方式被泄漏。3）生成要求KNASenc = HMAC-SHA-256（KASME， S）。S = FC | P0 | L0 | P1 | L1，其中：FC = 0 x15P0 = 算法類型區(qū)分值 = 0 x01L0 = 算法類型區(qū)分值長度（即0 x00 0 x01）P1 = 算

25、法標識符L1 = 算法標識符長度（即0 x00 0 x01）應(yīng)把算法標識符P1的值（參見安全技術(shù)規(guī)范）置為八位組的最低4bits位。在最高4bits位中，其中較低2bits位為供將來使用的保留值，其中較高2bits位用于私有方案。目前，所有最高4bits位都應(yīng)置零。KNASenc長度為256bits。如果NAS加密算法要求128位輸入密鑰，則截斷現(xiàn)有密鑰，取其低128位。同。KNASint1）定義KNASint是用特定算法保護非接入層通信完整性的密鑰。2）存儲要求存儲在ME中，不應(yīng)以任何方式被泄漏。3）生成要求KNASint= HMAC-SHA-256（KASME， S）。S = FC | P

26、0 | L0 | P1 | L1，其中：FC = 0 x15P0 = 算法類型區(qū)分值 = 0 x02L0 = 算法類型區(qū)分值長度（即0 x00 0 x01）P1 = 算法標識符L1 = 算法標識符長度（即0 x00 0 x01）應(yīng)把算法標識符P1的值（參見安全技術(shù)規(guī)范）置為八位組的最低4bits位。在最高4bits位中，其中較低2bits位為供將來使用的保留值，其中較高2bits位用于私有方案。目前，所有最高4bits位都應(yīng)置零。KNASint長度為256bits。如果NAS完整性算法要求128位輸入密鑰，則截斷現(xiàn)有密鑰，取其低128位。初始KeNB1）定義KeNB是當UE進入ECM-CONN

27、ECTED狀態(tài)時由ME從KASME推衍產(chǎn)生的密鑰，或是在eNB切換過程中由ME從中間密鑰推衍產(chǎn)生的密鑰。2）存儲要求安全存儲在ME上，不應(yīng)以任何方式被泄漏。3）生成要求要求ME中有可用的KASME。ME可在下列過程中生成/重新生成KeNB：- UE從EMM-DEREGISTERED狀態(tài)轉(zhuǎn)變?yōu)镋MM-REGISTERED/ECM-CONNECTED狀態(tài)時；- UE從ECM-IDLE狀態(tài)轉(zhuǎn)變?yōu)镋CMCONNECTED狀態(tài)時；- ECM-IDLE模式下從TD/GPRS到ETD的TAU更新過程中；- 從TD/GPRS切換到ETD后，連接狀態(tài)下的密鑰在線更新過程中。當UE和eNB之間需建立初始AS安全上

28、下文時，KeNB由ME從KASME推衍產(chǎn)生。首先構(gòu)建一個字符串S = FC | P0 | L0，其中：- FC = 0 x11，- P0 = 上行NAS COUNT，- L0 = 上行NAS COUNT的長度 （即0 x00 0 x04）在從TD/GPRS到ETD的TAU更新過程和切換過程中使用了映射安全上下文，此時上行NAS COUNT 應(yīng)置0。 生成結(jié)果：KeNB= HMAC-SHA-256（KASME， S）。KeNB長度為256bits。從其它網(wǎng)元獲取KeNB*或本地根據(jù)KDF算法導出KeNB*，然后直接將KeNB*作為KeNB使用。KRRCenc1）定義KRRCenc是用特定算法對無

29、線資源控制平面通信進行加密的密鑰。它是由ME根據(jù)KeNB和加密算法標識推衍產(chǎn)生的2）存儲要求安全存儲在ME中，不應(yīng)以任何方式被泄漏。3）生成要求要求ME中有可用的KeNB，且UE已指定了RRC加密算法。以下參數(shù)用該用于生成字符串S。-FC = 0 x15-P0 = 算法類型區(qū)分標識=0 x03-L0 =算法類型區(qū)分標識的長度（i.e. 0 x00 0 x01）-P1 = 選定的算法標識-L1 =算法標識的長度（i.e. 0 x00 0 x01）KDF的輸入密鑰應(yīng)該是KeNB.KDF的輸出是256bits的KRRCenc，使用時截取低128位。KRRCint1）定義KRRCint是用特定算法保護

30、無線資源控制平面通信完整性的密鑰。它是由ME根據(jù)KeNB和完整性算法標識推衍產(chǎn)生的2）存儲要求安全存儲在ME中，不應(yīng)以任何方式被泄漏。3）生成要求要求ME中有可用的KeNB，且UE已指定了RRC完整性算法。以下參數(shù)用該用于生成字符串S。-FC = 0 x15-P0 = 算法類型區(qū)分標識=0 x04-L0 =算法類型區(qū)分標識的長度（i.e. 0 x00 0 x01）-P1 = 選定的算法標識-L1 =算法標識的長度（i.e. 0 x00 0 x01）KDF的輸入密鑰應(yīng)該是KeNB.KDF的輸出是256bits的KRRCint，使用時截取低128位。KUpenc1）定義KUPenc是用特定算法對用

31、戶平面通信進行加密的密鑰。它是由ME根據(jù)KeNB和加密算法標識推衍產(chǎn)生的。2）存儲要求安全存儲在ME中，不應(yīng)以任何方式被泄漏。3）生成要求要求ME中有可用的KeNB，且UE已指定了用戶數(shù)據(jù)加密算法。以下參數(shù)用該用于生成字符串S。-FC = 0 x15-P0 = 算法類型區(qū)分標識=0 x05-L0 =算法類型區(qū)分標識的長度（i.e. 0 x00 0 x01）-P1 = 選定的算法標識-L1 =算法標識的長度（i.e. 0 x00 0 x01）KDF的輸入密鑰應(yīng)該是KeNB。KDF的輸出是256bits的KUPenc，使用時截取低128位。終端的加密和完整性算法概述加密與完整性需求在UE與網(wǎng)絡(luò)間的

32、用戶數(shù)據(jù)與信令數(shù)據(jù)需要受到機密性與完整性的保護。- NAS信令需要受到強制的完整性保護以及可選的機密性保護；- RRC信令需要受到強制的完整性保護以及可選的機密性保護；- UP數(shù)據(jù)需要受到可選的機密性保護，不需要受到完整性保護；在UE與網(wǎng)絡(luò)端，加解密算法與完整性算法的輸入?yún)?shù)應(yīng)當保持同步。對RRC與UP的機密性保護應(yīng)在PDCP層完成，對NAS信令的機密性保護應(yīng)由NAS協(xié)議來提供。算法標識符分配除了空加密算法，以下所有的機密性保護與完整性保護算法均使用128位的輸入密鑰。每一個加密算法（EEA）都分配有一個4比特長的標識。注：（0000）2代表二進制，下同算法標識符 加密算法 算法描述（0000

33、）2 EEA0 空加密算法（0001）2 128-EEA1 基于SNOW 3G的加密算法（0010）2 128-EEA2 基于AES的加密算法剩下的標識留作將來使用。UE與eNB應(yīng)當對RRC信令與UP數(shù)據(jù)提供EEA0、128-EEA1與128-EEA2三種加密算法。UE與MME應(yīng)當對NAS信令提供EEA0、128-EEA1與128-EEA2三種加密算法。每一個完整性算法（EIA）也都分配有一個4比特長的標識。算法標識符 完整性算法 算法描述（0000）2 EIA0 無完整性保護（僅用于緊急呼叫）（0001）2 128-EIA1 基于SNOW 3G的完整性算法（0010）2 128-EIA2 基

34、于AES的完整性算法剩下的標識留作將來使用。UE與eNB應(yīng)當對RRC信令提供128-EIA1、128-EIA2兩種完整性算法。UE與MME應(yīng)當對NAS信令提供128-EIA1、128-EIA2兩種完整性算法。加密和完整性保護的算法可以參考TS 25.215、TS 25.216、TS 25.217、TS 25.218、TS 25.221、TS 25.222、TS 25.223?？盏募用苄浴⑼暾员Ｗo算法EEA0算法也應(yīng)被實現(xiàn)，它與其他算法有同樣的效果，實現(xiàn)過程中產(chǎn)生全0的密鑰流。產(chǎn)生的密鑰流長度等同于輸入?yún)?shù)LENGTH值，除了LENGTH值外不需要其他的輸入?yún)?shù)。除此之外，所有與加密有關(guān)的過程

35、都需按照附錄中定義的其他算法的執(zhí)行過程執(zhí)行。128位加密算法輸入和輸出加密算法的輸入?yún)?shù)包括128位的加密密鑰Key, 32位計數(shù)器值COUNT，5位承載標識符BEARER，1位轉(zhuǎn)發(fā)目的標識DIRECTION，以及密鑰流長度LENGTH。DIRECTION位的值為0表示上行鏈路，值為1表示下行鏈路。下圖表示了加密算法EEA的使用情況，EEA算法通過使用輸入?yún)?shù)產(chǎn)生密鑰流逐位抑或明文來形成密文，然后通過使用同樣的輸入?yún)?shù)產(chǎn)生同樣的密鑰流逐位抑或密文來恢復(fù)明文。算法基于輸入?yún)?shù)產(chǎn)生密鑰流KEYSTREAM，用于加密輸入明文數(shù)據(jù)塊PLAINTEXT從而產(chǎn)生輸出密文塊CIPHERTEXT。輸入?yún)?shù)LE

36、NGTH將影響密鑰流KEYSTREAM BLOCK的長度，不是密鑰流的實際比特位。128-EEA1128-EEA1基于SNOW 3G算法，與3GPP TS 35.215中定義的UEA2算法相同。其中使用的IV與TS 3.4節(jié)定義的構(gòu)造相同。128-EEA2128-EEA2基于128位的AES CTR模式的算法。CTR所需的128位計數(shù)器的序列號T1, T2, ，Ti，將按如下規(guī)則構(gòu)造：T1的最高64位由COUNT0 . COUNT31 BEARER0 . BEARER4 DIRECTION 026(如26位0)值組成，從左至右為最高有效位至最低有效位排列，如COUNT0是T1的最高有效位。T1

37、的最低64位全為0。后續(xù)計數(shù)器塊通過標準整數(shù)增加功能對先前的計數(shù)值的低64位模264運算來獲得。128位完整性算法輸入和輸出完整性算法的輸入?yún)?shù)包括128位的完整性密鑰KEY，32位的計數(shù)值COUNT，5位的承載標識BEARER，1位的轉(zhuǎn)發(fā)方向標識DIRECTION，以及消息本身MESSAGE。DIRECTION位為0表示上行鏈路，為1表示下行鏈路。MESSAGE的長度位為LENGTH。下圖展示了使用完整性算法EIA認證消息完整性的情況。圖 MAC-I/NAS-MAC（或者XMAC-I/XNAS-MAC）的推衍過程基于這些輸入?yún)?shù)，發(fā)送者使用完整性算法EIA計算32位的消息認證碼（MAC-I/

38、NAS-MAC）。消息認證碼被添加在消息后隨消息一起發(fā)送。接收者在收到消息后，按照發(fā)送者計算消息認證碼同樣的方式計算期望得到的消息認證碼（XMAC-I/XNAS-MAC），并通過與收到的消息認證碼MAC-I/NAS-MAC比較來驗證消息的完整性。128-EIA1128-EIA1基于SNOW-3G算法，與3GPP TS 35.215中定義的UIA2算法實現(xiàn)相同。其中使用的IV與TS 4.4節(jié)定義的構(gòu)造方式相同，唯一的不同是FRESH0，F(xiàn)RESH31改為BEARER0BEARER4 | 027(例如，27位0)。128-EIA2128-EIA2基于128位AES CMAC模式。MESSAGE的長

39、度為BLENGTH.CMAC模式的輸入為Mlen長度的位串M，M包含以下內(nèi)容：M0 . M31 = COUNT0 . COUNT31M32 . M36 = BEARER0 . BEARER4M37 = DIRECTIONM38 . M63 = 026 (i.e. 26 zero bits)M64 . MBLENGTH+63 = MESSAGE0 . MESSAGEBLENGTH-1Mlen = BLENGTH + 64.AES CMAC模式使用這些輸入?yún)?shù)產(chǎn)生一個長度Tlen=32的消息認證碼T。T直接用于128-EIA2的輸出MACT0 . MACT31，其中MACT0為T的最高有效位。終端

40、的安全性激活過程在LTE中，非接入層和接入層分別都要進行加密和完整性保護，它們是相互獨立的，它們安全性的激活都是通過SMC命令來完成的，且發(fā)生在AKA之后。網(wǎng)絡(luò)端對終端的非接入層和接入層的激活順序是先激活非接入層的安全性，再激活接入層的安全性。非接入層的安全模式過程由下圖可知，非接入層的安全模式過程是由網(wǎng)絡(luò)發(fā)起的，MME發(fā)送的SMC消息是被非接入層完整性保護了的，但是沒有被加密。UE在收到SMC消息后，首先要比對消息中的UE security capabilities（安全性能力）是否和自己發(fā)送給網(wǎng)絡(luò)以觸發(fā)SMC過程的UE security capabilities相同，以確定UE secur

41、ity capabilities未被更改，如果相同，表示可以接受，沒有受到攻擊，nonceMME和nonceUE用于切換時的安全性激活，不再贅述；其次，進行NAS層密鑰的生成，包括KNASenc和KNASint， 前者為NAS加密密鑰，后者為NAS完整性保護密鑰；接著，UE將根據(jù)新產(chǎn)生的完整性保護密鑰和算法對收到的SMC消息進行完整性校驗，校驗通過，表示該SMC可以被接受，此安全通道可用；最后，UE發(fā)出安全模式完成消息給MME，所有的NAS信令消息都將進行加密和完整性保護。如果安全模式命令的校驗沒通過的話，將發(fā)送安全模式拒絕命令給MME，UE退出連接。接入層的安全模式過程在非接入層的安全性激活

42、后，緊接著將要進行接入層的安全性激活，采用AS SMC命令來實現(xiàn)的。如下圖所示，網(wǎng)絡(luò)端通過已經(jīng)存在的KASME來生成KeNB ，利用KeNB生成完整性保護密鑰對AS SMC這條消息進行完整性保護，并生成一個信息確認碼MAC-I；之后，將AS SMC傳給ME。ME首先利用密鑰KASME來生成KeNB ，之后利用收到的算法和KeNB通過KDF生成完整性保護密鑰，然后對此AS SMC信息進行完整性校驗，具體是通過生成一個X-MAC，如果X-MAC和MAC-I相匹配的話，通過校驗，之后進一步生成加密密鑰，并發(fā)送AS SMC完成消息給eNB，此條消息也要進行加密和完整性保護，也要生成一個信息確認碼MAC-I，假如校驗不通過，UE會向eNB返回一條AS Mode Failure消息，表明此通道不安全，UE是要退出連接的。eNB對AS SMC完成消息進行完整性校驗通過后，此時接入層的