LTE认证与密钥协商协议的安全分析及改进
开篇:润墨网以专业的文秘视角,为您筛选了一篇LTE认证与密钥协商协议的安全分析及改进范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
摘 要: 近年来,3GPP长期演进(lte)项目已成为当前4G无线通信系统的主流技术。相对于3G,LTE在接入安全方面做出了很大改进,安全性亦得到提升,然而仍存在着一些安全问题。重点分析了LTE认证与密钥协商协议(EPS AKA)流程中的安全问题,关键信息的明文传送问题、公共密钥泄露问题等。针对这些安全问题提出了相应的改进方案, 对其进行了安全性分析。
关键词: LTE; EPS AKA; 安全问题; 4G无线通信系统
中图分类号: TN929.5?34 文献标识码: A 文章编号: 1004?373X(2014)18?0035?03
Security analysis and improvement of LTE authentication and key agreement protocol
ZHOU Chi, ZHU Shi?bing, LI Chang?qing
(Department of Information Equipment, Equipment Academy, Beijing 101400, China)
Abstract: In recent years, LTE (long term evolution) has become one of the mainstreams of current wireless communication systems. Compared with 3G, LTE makes a great improvement in the access security, but still has some security issues. The security, plaintext transmission of the key information and the public key exposure issues existing in flow path of LTE authentication and key agreement protocol (EPS AKA) are analyzed emphatically in this paper. Some improving schemes are proposed for these security issues, and their security is analyzed
Keywords: LTE; EPS AKA; security issue; 4G wireless communication system
0 引 言
近年来,无线通信技术在全世界快速发展。随着移动通信的不断演进,接入的鉴权机制也在不断发展完善。从3GPP方向看, 主要按着GSM,UMTS,EPS的路线演进,从单向鉴权向双向鉴权完善,并且考虑了信息的完整性保护[1]。
在现有的无线系统中,LTE是由3GPP提出的4G无线移动宽带系统,是当前无线研究的重点之一。相对于3G,LTE在接入安全方面进行了演进,其中最大的改进就是将安全划分为AS(接入层)安全和NAS(非接入层)安全两个部分[2];最直接的体现是鉴权向量的变化[1],在EPS系统中,网络发送给终端4元认证向量(RAND,AUTN,XRES,KASME),与UMTS系统的主要差异在于KASME 。
尽管LTE在接入安全方面做出了很大改进,但仍存在一些安全漏洞。本文将列出LTE认证与密钥协商协议EPS AKA中存在的问题,逐个分析并提出解决方法。
1 EPS AKA分析
1.1 EPS AKA具体流程
EPS AKA 协议是从 3G 网络中的 3GPP AKA协议演化而来的,延续了以往认证方案的“挑战/响应”流程[3]。通过 UE (用户设备)与网络之间的相互认证过程,完成会话密钥的协商,为后续的通信做好加密工作,提供通信的安全保障。
EPS AKA协议分为两个阶段[4] :
(1) 从HSS到MME颁发EPS认证向量;
(2) UE与MME之间的认证与密钥协商过程。
如图1所示[5],EPS AKA具体流程如下:
(1) UE向MME 发送接入请求,包括自己的IMSI(国际移动用户身份标识码)与HSS的IDHSS标识等身份信息。
(2) MME通过认证数据请求将IMSI,SN id(服务网标识)和Network Type(服务网类型)传给HSS。
(3) HSS收到认证数据请求后,首先验证IMSI与SN id的合法性。验证通过,则生成认证向量组AV(1,2,…,n),并作为认证数据应答发回给 MME。认证向量包括参数RAND(随机数)、AUTN(authentication token,认证令牌)、XRES(通过和用户返回的RES比较来达成密钥协商的目的)和密钥KASME(用来产生非接入层和接入层密钥的基础密钥)。生成认证向量组 AV(1,2,…,n)的相关参数算法如下:
MAC=f1K(SQN||RAND||AMF)
XRES=f2K(RAND)
KASME=KDF(f3K(RAND),f4K(RAND))
AK=f5K(RAND)
获得参数后,再根据以下方法计算 AUTN 与 AV:
AUTN=SQNAK||AMF||MAC;
AV=RAND||XRES||KASME||AUTN。
图1 EPS AKA流程图
(4) MME收到HSS送来的鉴权认证向量AV后,将AV存储,然后按序选择一组AV向量AV(i),提取出 RAND(i),AUTN(i),KASME(i)等数据,同时为 KASME(i)分配一个密钥标识 KSIASME(i)。然后向 UE 发送用户认证请求。
(5) UE 收到认证请求后,通过提取和计算 AUTN(i)中的MAC 等信息,计算XMAC,比较 XMAC 和 MAC 是否相等,同时检验序列号SQN是否在正常的范围内,以此来认证所接入的网络。如果认证通过,则计算 RES(i)与 KASME(i),并将 RES(i)传输给 MME。其中XMAC=f1K (SQN|| RAND|| AMF);RES=f2K(RAND)。
(6) MME将收到的RES(i)与AV(i)中的 XRES(i)进行比较,如果一致,则通过认证;接下来MME和UE演算得到KASME(i),并以KASME (i)作为基础密钥,根据约定的算法推演出加密密钥与完整性保护密钥,随后开启安全模式命令(SMC)。
1.2 EPS AKA安全分析
由以上的认证过程可以发现以下几个问题。
(1) 在首次接入网络或者网络端需要用户传输国际移动用户识别码(IMSI)时,IMSI是以明文形式发送的[6],这样恶意入侵者可以通过监听信号获得用户IMSI信息,假冒用户身份入网,从而导致非法用户访问网络。
(2) 一个或多个UE在同一时间内大量发送业务请求,会导致基站处理能力下降,若这些大量的请求是被不法攻击者恶意发送的,会恶意占用基站的大量资源,使得基站无法为其他合法用户服务,从而引发拒绝服务攻击。
(3) UE与HSS之间的公共密钥长期共存,是不会更新的,频繁地在密钥协商中出现将提高被不法攻击者破解的概率。
(4) MME和HSS之间发送的消息是未经加密保护的。由于这两个实体之间的连接可能是有线的亦可能是无线的。如果是无线的,不法攻击者就很容易截获重要参数,比如AVs中的RANDs和KASME,利用这些参数渗透到系统中,并伪装HSS或MME来盗取安全数据,或者发起中间人攻击来修改被传送消息的内容。
2 改进方案E?EPS AKA
针对以上问题,在此提出如下改进方法:
(1) 引入公钥密码体制用以解决IMSI和AV泄露问题:
公钥密码体制的原理图如图2所示。
图2 公钥密码体制
公钥密码算法采用一对密钥,将加密和解密能力分开,其中一个密钥是公开的,称为公钥,如图2中的KP,用于加密;另一个密钥是为用户专用,因而是保密的,称为私钥,如图2中的KS,用于解密。
在UE向MME发送IMSI时,利用HSS(接收方)的公钥KPHSS加密IMSI,而在HSS接到认证请求后利用自身私钥KSHSS解密出UE的IMSI,并验证其合法性;同理,在HSS向UE发送消息时,利用UE的公钥KPUE对发送的内容(如AV)加密,UE在收到消息后利用自身私钥KSUE进行解密。这样协议中传输的消息都以密文形式进行传输,有效解决了IMSI和AV泄露而引起的危险。
(2) 在网络侧建立允许接入IMSI白名单解决不法攻击者恶意发送大量接入请求而导致的拒绝服务攻击。在服务网络侧建立行为记录机制,对UE在网络侧建立允许接入IMSI白名单,服务网络只对白名单中的IMSI接入请求做出响应,对恶意攻击者的非法接入请求不予回应,从而节省资源消耗,有效解决了拒绝服务攻击。
(3) 利用Diffie?Hellman[6]密钥交换算法解决公共密钥长期共存而导致的密钥泄露问题:
在HSS验证完UE的IMSI的合法性之后,若合法,在计算AV之前,HSS随机生成一个随机数RHSS,并将RHSS保密存放,接着利用Diffie?Hellman算法计算出X=t^RHSS mod n,其中t为素数,n为原根,并通过密钥交换请求将X发送给MME。MME在收到密钥交换请求后直接将其转发给UE。在接收到请求后,UE随机生成一个随机数RUE,将其保密存放,并利用Diffie?Hellman算法计算KUE=X^RUE mod n,并计算Y=t^RUE mod n,将Y经MME发送给HSS。HSS收到消息后,计算KHSS=Y^RHSS mod n。显而易见,KUE=KHSS,这样UE和HSS获得共同的密钥K。而在信道上监听的非法攻击者只能获得n,t,X,Y,而无法知道RHSS和RUE,从而无法计算出K。并且在每次用户认证时,公共密钥都会更新,从而有效解决了公共密钥长期共存而引起的泄露问题。改进方案E?EPS AKA的流程图如图3所示。
3 E?EPS AKA安全性能分析
(1) 机密性。实现了IMSI和认证向量的加密传输。利用公钥密码体制加密用户永久身份IMSI,IMSI以密文形式传输,这样恶意入侵者很难通过监听信号获得用户IMSI信息,有效防止了攻击者假冒用户身份入网,从而的导致非法用户访问网络攻击;认证向量组加密传输,避免了攻击者通过窃听链路获得认证向量AV,有效防止了攻击者利用这些参数渗透到系统中,并伪装HSS或MME来盗取安全数据,或者发起中间人攻击来修改被传送消息的内容。
(2) 双向认证。实现用户与归属网络,访问网络的相互认证。3GPP AKA协议中,网络对用户进行了身份认证,但用户却只对归属网络(HSS)进行了认证,并没有对访问网络(MME)进行身份认证。本方案利用数字签名等公钥加密技术,实现了MME与HSS之间的认证和UE与MME之间的认证,避免了因没有对MME进行认证而导致潜在的中间人攻击。
图3 E?EPS AKA流程图
(3) 不可否认性。提供了不可否认功能。利用信息发送方的私钥对消息进行了数字签名,标识了消息的来源,接收方只需利用发送方的公钥对信息进行解密,即可验证消息的来源,由于发送方的私钥只有发送方自己知道,这样有效防止了中间人攻击,同时确保发送方不能抵赖曾发送过的消息。
(4) 在MME处引入了白名单,有效防止了拒绝服务攻击;引入Diffie?Hellman密钥交换机制来成K,使共享密钥K能够不断更新,有效防止了共享密钥K被破解的概率。E?EPS AKA与EPS AKA的安全性能比较如表1所示。
表1 E?EPS AKA与EPS AKA协议的安全功能比较
4 结 语
作为4G的主流技术之一,LTE的安全性受到极大关注。本文对LTE认证与密钥协商协议EPS AKA做了安全性分析,指出其存在的问题。并提出了引入公钥密码体制,解决IMSI及AV的明文传送问题;在网络侧建立允许接入IMSI白名单解决不法攻击者恶意发送大量接入请求而导致的拒绝服务攻击的问题;提出了利用Diffie?Hellman密钥交换算法生成UE和HSS公共密钥K,以解决公共密钥易泄露的问题。最后对提出的方案进行了安全性能分析,并与EPS AKA做了比较。
参考文献
[1] 李频钟,吴涛,康亮.3GPP 网络接入安全的发展及趋势[J].电信网技术,2011(12):40?44.
[2] LEU F Y, YOU I, HUANG Y L, et al. Improving security level of LTE authentication and key agreement procedure [C]// Proceedings of 2012 IEEE Globecom Workshops. [S.l.]: IEEE, 2012: 1032?1036.
[3] 汪良辰.LTE 安全接入机制研究[D].西安:西安电子科技大学,2012.
[4] Third Generation Partnership Project, Technical Specification Group Services and System Aspects, 3GPP System Architecture Evolution (SAE). Security architecture security, 3GPP TS 33.401 version V10.0.0 [R]. [S.l.]: SAE, 2011.
[5] FORSBERG D, HORN G, MOELLER W D, et al. LTE security [M]. [S.l.]: John Wiley & Sons, 2012.
[6] RESCORLA E. Diffie?Hellman key agreement method [J/OL]. [1999?06?21]. http:///rfc/rfc2631.txt.
[7] 张静,艾渤,钟章队.一种改进的 LTE 网络用户身份认证方法[J].电讯技术,2012,51(12):87?91.