lte安全体系结构详述.doc

《lte安全体系结构详述.doc》由会员分享，可在线阅读，更多相关《lte安全体系结构详述.doc（18页珍藏版）》请在三一办公上搜索。

1、LTE安全体系结构摘要：针对3GPP提出的LTE/SAE标准，研究了LTE/SAE安全体系架构。首先概述了LTE/SAE的基本网络架构，介绍了LTE/SAE较之UMTS网络的改进之处；其次，逐层介绍LTE/SAE的网络安全体系，包括安全架构，安全流程分析，鉴权与密钥协商过程，密钥体系，安全激活过程等；再者，指出了现阶段LTE/SAE安全体制存在的一些问题并进行了分析；最后对文献阅读方面做了总结。关键词：3GPP；LTE/SAE；安全机制；密钥；鉴权The Security Mechanism of LTE/SAEAbstract: The LTE/SAE security mechanism

2、architecture is studied through the standard of LTE/SAE put forward by 3GPP. Firstly, the basic network structure of LTE/SAE is summarized and the advantage of LTE/SAE to UMTS is introduced. Secondly, the network security mechanism of LTE/SAE, security structure, the analysis of security procedure,

3、authentication and key agreement, key hierarchy, security mode activation procedure, and so on, is introduced step by step. And then, some problems existing in the present security mechanism of LTE/SAE are shown and analyzed. At last, some summary is given on paper reading.Keywords: 3GPP (3rd Genera

4、tion Partnership Project); LTE/SAE (long time evolution/system architecture evolution); Security Mechanism; Key; Authentication1.引言1.1LTE发展背景伴随GSM等移动网络在过去的二十年中的广泛普及，全球语音通信业务获得了巨大的成功。目前，全球的移动语音用户已超过了18亿。同时，我们的通信习惯也从以往的点到点（Place to Place）演进到人与人。个人通信的迅猛发展极大地促使了个人通信设备的微型化和多样化，结合多媒体消息、在线游戏、视频点播、音乐下载和移动电视

5、等数据业务的能力，大大满足了个人通信和娱乐的需求。另外，尽量利用网络来提供计算和存储能力，通过低成本的宽带无线传送到终端，将有利于个人通信娱乐设备的微型化和普及。GSM网络演进到GPRS/EDGE和WCDMA/HSDPA网络以提供更多样化的通信和娱乐业务，降低无线数据网络的运营成本，已成为GSM移动运营商的必经之路。但这也仅仅是往宽带无线技术演进的一个开始。WCDMA/HSDPA与GPRS/EDGE相比，虽然无线性能大大提高，但是，在IPR的制肘、应对市场挑战和满足用户需求等领域，还是有很多局限。由于CDMA通信系统形成的特定历史背景，3G所涉及的核心专利被少数公司持有，在IPR上形成了一家独

6、大的局面。专利授权费用已成为厂家承重负担。可以说，3G厂商和运营商在专利问题上处处受到制肘，业界迫切需要改变这种不利局面。面对高速发展的移动通信市场的巨大诱惑和大量低成本，高带宽的无线技术快速普及，众多非传统移动运营商也纷纷加入了移动通信市场，并引进了新的商业运营模式。例如，Google与互联网业务提供商（ISP）Earthlink合作，已在美国旧金山全市提供免费的无线接入服务，双方共享广告收入，并将广告收入作为其主要盈利途径，Google更将这种新的运营模式申请了专利。另外，大量的酒店、度假村、咖啡厅和饭馆等，由于本身业务激烈竞争的原因，提供免费WiFi无线接入方式，通过因特网可以轻易的查询

7、到这类信息。最近，网络服务提供商“SKYPE”更在这些免费的无线宽带接入基础上，新增了几乎免费的语音及视频通信业务。这些新兴力量给传统移动运营商带来了前所未有的挑战，加快现有网络演进，满足用户需求，提供新型业务成为在激烈的竞争中处于不败之地的唯一选择。与此同时，用户期望运营商提供任何时间任何地点不低于1Mbps的无线接入速度，小于20ms的低系统传输延迟，在高移动速率环境下的全网无缝覆盖。而最重要的一点是能被广大用户负担得起的廉价终端设备和网络服务。这些要求已远远超出了现有网络的能力，寻找突破性的空中接口技术和网络结构看来是势在必行。LTE(长期演进)是由3GPP(第三代合作伙伴计划)定义的移

8、动宽带网络标准的下一个演进目标,支持在成对频谱和非成对频谱上的运行,可实现对现有和未来的无线频带频谱的高效利用。它还支持1.420MHz的信道带宽。业界对LTE的广泛支持,确保了LTE拥有规模经济效益,因此是一种非常经济高效的解决方案。2006年9月,3GPP最终确定了LTE:也称之为演进的UTRA和UTRAN(Evolved UTRA and UTRAN)的研究项目。该项研究的目标是确定3GPP接入技术的长期演进计划,使其可以在遥远的将来保持竞争优势,相应的工作项目计划在2007年下半年完成。3GPP还开展了一项平行研究:即系统架构演进(SAE),展示核心网络的演进要点。这是一个基于IP的扁

9、平网络体系结构,旨在简化网络操作,确保平稳、有效地部署网络。1.2LTE安全机制概述随着移动通信的普及，移动通信中的安全问题正受到越来越多的关注，人们对移动通信中的信息安全也提出了更高的要求。在2G（以GSM网络为例）中，用户卡和网络侧配合完成鉴权来防止未经授权的接入，从而保护运营商和合法用户双方的权益。但GSM网络在身份认证及加密算法等方面存在着许多安全隐患：首先，由于其使用的COMP128-1算法的安全缺陷，用户SIM卡和鉴权中心（AuC）间共享的安全密钥可在很短的时间内被破译，从而导致对可物理接触到的SIM卡进行克隆；GSM网络没有考虑数据完整性保护的问题，难以发现数据在传输过程被篡改等

10、问题。第三代移动通信系统（3G）在2G的基础上进行了改进，继承了2G系统安全的优点，同时针对3G系统的新特性，定义了更加完善的安全特征与安全服务。R99侧重接入网安全，定义了UMTS的安全架构，采用基于Milenage算法的AKA鉴权，实现了终端和网络间的双向认证，定义了强制的完整性保护和可选的加密保护，提供了更好的安全性保护；R4增加了基于IP的信令的保护；R5增加了IMS的安全机制；R6增加了通用鉴权架构GAA（Generic Authentication Architecture）和MBMS（Multimedia Broadcast Multicast Service）安全机制。3G技术

11、的出现推动了移动通信网数据类业务的发展，在更大程度上满足了个人通信和娱乐的需求，正在被广泛推广和应用。为了进一步发展3G技术，3GPP于2004年将LTE（Long Time Evolution）作为3G系统的长期演进，并于2006年开始标准制定工作。在开展LTE研究项目的同时，启动了SAE（System Architecture Evolution）的研究项目。LTE/SAE的安全功能也不断得到完善、扩展和加强，本文对LTE/SAE的安全技术进行了详细介绍。2LTE/SAE网络架构2.1LTE基本网络架构LTE采用扁平化、IP化的网络架构，E-UTRAN用E-NodeB替代原有的RNC-No

12、deB结构，各网络节点之间的接口使用IP传输，通过IMS承载综合业务，原UTRAN的CS域业务均可由LTE网络的PS域承载。原有PS域的SGSN（service GPRS support node）和GGSN（gateway GPRS support node）功能归并后重新作了划分，成为两个新的逻辑网元：移动管理实体(MME)和服务网关(Serving Gateway)，实现PS域的承载和控制相分离。新增的PDN GW网元实现各种类型的无线接入。LTE的网络架构如下图所示：图1 LTE网络架构E-UTRAN由eNB构成；EPC (Evolved Packet Core)由MME（Mobili

13、ty Management Entity），S-GW（Serving Gateway）以及P-GW（PDN Gateway）构成。E-UTRAN主要的开放接口包括：S1接口：连接E-UTRAN与CN，类似于UTRAN的Iu接口；X2接口：实现E-NodeB之间的互联，类似于UTRAN的Iur接口；LTE-Uu接口：E-UTRAN的无线接口，类似于UTRAN的Uu接口；图2 E-UTRAN与UTRAN接口对照2.2LTE/SAE网元功能介绍SAE是LTE的系统架构演进，所以，在此有必要对其系统架构做简单介绍，SAE的网络结构如图3所示： SGi S12 S3 S1-MME PCRF Gx S6a

14、 HSS Operators IP Services (e.g. IMS, PSS etc.) Rx S10 UE SGSN LTE-Uu E-UTRAN MME S11 S5 Serving Gateway PDN Gateway S1-U S4 UTRAN GERAN 图3 SAE网络架构接下来介绍一下各网元的功能：2.2.1UTRANE-UTRAN实体的主要功能包括：1. 头压缩及用户平面加密；2. 在没有路由到达MME的情况下，MME的选择取决于UE提供的信息；3. 没有路由情形下的MME选择；4. 基于AMBR和MBR的上行承载级速率执行；5. 上下行承载级准许控制。2.2.2MME

15、MME提供以下功能：1. NAS信令及其安全；2. 跨核心网的信令（支持S3接口）；3. 对处于MME-IDLE状态的UE进行寻呼；4. 跟踪区域（Tracking Area）列表的管理；5. P-GW和S-GW的选择；6. 发生跨MME切换时的MME选择；7. 发生与2G/3G 3GPP接入网之间切换时的SGSN选择；8. 支持漫游（与HSS之间的S6a接口）；9. 鉴权；10. 承载管理，包括专用承载（dedicated bearer）的建立。2.2.3S-GW对每一个与EPS相关的UE，在一个时间点上，都有一个S-GW为之服务。S-GW对基于GTP和PMIP的S5/S8都能提供如下功能：

16、1. eNode间切换时，作为本地锚定点；2. 在2G/3G系统和P-GW之间传输数据信息；3. 在EMM-IDLE模式下为下行数据包提供缓存；发起业务请求流程；4. 合法侦听；5. IP包路由和前转；6. IP包标记；7. 计费。2.2.4P-GW1. 基于单个用户的数据包过滤；2. UE IP地址分配；3. 上下行传输层数据包的分类标示；4. 上下行服务级的计费（基于SDF，或者基于本地策略）；5. 上下行服务级的门控；6. 上下行服务级增强，对每个SDF进行策略和整形；7. 基于AMBR的下行速率整形基于MBR的下行速率整上下行承载的绑定；合法性监听；2.2.5HSSHSS是用于存储用户

17、签约信息的数据库，归属网络中可以包含一个或多个HSS。HSS负责保存以下跟用户相关的信息：1. 用户标识、编号和路由信息；2. 用户安全信息：用于鉴权和授权的网络接入控制信息3. 用户位置信息：HSS支持用户注册，并存储系统间的位置信息4. 用户轮廓信息HSS还能产生用于鉴权、完整性保护和加密的用户安全信息。HSS负责与不同域和子系统中的呼叫控制和会话管理实体进行联系。2.2.6PCRFPCRF是策略和计费控制单元。3LTE安全机制本章从LTE/SAE的安全架构入手，首先介绍了安全层次，并分析了安全层次的必要性；其次，分析了LTE认证与密钥协商过程，密钥的体系架构，以及安全性激活过程；最后对L

18、TE安全机制进行了安全性分析。3.1LTE/SAE安全架构LTE/SAE网络的安全架构和UMTS的安全架构基本相同，如下图所示：图4 安全架构LTE/SAE网络的安全也分为5个域：1)网络接入安全(I)2)网络域安全(II)3)用户域安全 (III)4)应用域安全 (IV)5)安全服务的可视性和可配置性（V）LTE/SAE的安全架构和UMTS的网络安全架构相比，有如下区别：1)在ME和SN之间增加了双向箭头表明ME和SN之间也存在非接入层安全。2)在AN和SN之间增加双向箭头表明AN和SN之间的通信需要进行安全保护。3)增加了服务网认证的概念，因此HE和SN之间的箭头由单向箭头改为双向箭头。

19、3.2LTE/SAE安全层次在LTE中，由于eNB轻便小巧，能够灵活的部署于各种环境。但是，这些eNB部署点环境较为复杂，容易受到恶意的攻击。为了使接入网安全受到威胁时不影响到核心网，LTE在安全方面采取分层安全的做法，将接入层（AS）安全和非接入层（NAS）安全分离，AS安全负责eNB和UE之间的安全，NAS安全负责MME和UE之间的安全。采用这种方式能够更好的保护UE的接入安全。这样LTE系统有两层保护，而不像UMTS系统只有一层安全保障。第一层为E-UTRAN网络中的RRC安全和用户面（UP）安全，第二层是EPC（演进的包核心）网络中的NAS信令安全，如下页图1所示。 这种设计目的是使E

20、-UTRAN安全层（第一层）和EPC安全层（第二层）相互的影响最小化。该原则提高了整个系统的安全性；对运营商来说，允许将eNB放置在易受攻击的位置而不存在高的风险。同时，可以在多接入技术连接到EPC的情况下，对整个系统安全性的评估和分析更加容易。即便攻击者可以危及第一个安全层面的安全，也不会波及到第二个安全层面。图5 LTE/SAE安全层次3.3LTE/SAE认证与密钥协商过程3GPP LTESAE认证与密钥协商过程取得了用户和网络之间相互认证的功能，在成功认证的基础上完成了密钥的协商，并且确保了协商密钥的新鲜性。协议中参与认证与密钥协商的主体有：用户设备(User Equipment，UE)

21、、移动性管理实体(Mobility Management Entity，MME)和本地用户服务器(Home Subscriber Server，HSS)，UE信任HSS并与其共享密钥K及确定的加解密算法。此外，UE和HSS各自维持一个计数器SQNms。和SQNhss，并且SQNms和SQNhss的初值都为0。其中f1和f2为认证函数，f3、f4、f5、s10为密钥生成函数，其详细定义见文献2。详细的3GPP SAE认证与密钥交换协议参见图6，图中认证令牌AUTN=SQNAK|AMF|MAC，认证向量AV=(RAND|XRES|KASME|AUTN)，RAND为HSS产生的随机数，AK=f5(R

22、AND)，MAC=f1(SQN|RAND|AMF)，XRES=f2(RAND)，CK=f3(RAND)，IK=f4(RAND)，密钥KASME由CK，IK和服务网络号从密钥产生算法s10。得到，其中“|”表示符号消息的串联，“”标识异或运算符。图6 LTE/SAE认证与密钥协商过程3GPP LTESAE认证向量分发与密钥协商的具体过程如下：(1)MME发起认证过程。首先MME收到移动用户的注册请求后，向用户的HSS发送该用户的永久身份标识IMSI，向所在的服务网络发SNID，请求对该用户身份和所在网络进行认证；(2)HSS收到MME的认证请求之后，根据SNID对用户所在的服务网络进行验证，验证

23、失败则HSS拒绝该消息，如验证通过，生成序列号SQN和随机数RAND，同时产生一个或一组认证向量AV并发送给MME，MME按序存储这些向量，每一个认证向量可以在UE和MME之间进行一次认证与密钥协商。步骤1和2即为从HSS到服务网络分发认证数据的过程，图7所示为HSS中认证向量的产生机制；图7 认证向量的产生机制(3)MME收到认证向量或认证向量组之后，对认证向量组按序排序，然后选择一个序号最小的认证向量，并将其RAND和AUTN发送给UE，请求UE产生认证数据； (4)UE收到MME发来的认证请求后，首先验证AUTN中AMF域的分离位，然后计算XMAC，并与AUTN中的MAC相比较，若AMF

24、验证不通过或者XMAC与MAC比较不符，则向MME发送拒绝认证消息，并放弃该过程。上述两项验证通过后，UE将计算RES和KASME，KASME由认证过程中产生的密钥CK、IK和SNID根据密钥产生函数s。得到，并将RES发送给MME。步骤3和4即为认证和密钥协商过程，该过程完成用户与网络的相互认证，并且产生用于用户面、无线资源控制层和非接人层的加密和完整性保护的父密钥；(5)MME收到UE发送的RES后，将RES与认证向量AV中的XRES进行比较，相同则整个认证与密钥协商过程成功。随后的本地认证过程中，接入层和非接入层将采用认证与密钥协商过程中产生的父密钥KASME根据相应的密钥产生算法生成接

25、人层和非接入层的加密密钥和完整性保护密钥进行机密通信，否则整个认证与密钥协商过程失败，网络拒绝用户入网。图8 USIM卡中的用户认证功能3.4LTE/SAE密钥架构为了管理UE和LTE接入网络各实体共享的密钥，LTE定义了接入安全管理实体（ASME），该实体是接入网从HSS接收最高级（top-level）密钥的实体。对于LTE接入网络而言，MME执行ASME的功能。LTE/SAE网络密钥层次架构如图9所示。LTE/SAE网络的密钥层次架构中包含如下密钥：（1）UE和HSS间共享的密钥。K：存储在USIM和认证中心AuC的永久密钥；CK/IK：AuC和USIM在AKA认证过程中生成的密钥对。图9

26、 LTE/SAE网络密钥层次构架（2）ME和ASME共享的中间密钥。KASME：UE和HSS根据CK/IK推演得到的密钥。密钥KASME作为SAE特定认证向量响应的部分从HSS传输到ASME。（3）LTE 接入网络的密钥。KeNB：用于推导保护RRC流量的密钥和UP流量的密钥；KNASint：用于和特定的完整性算法一起保护NAS流量；。KNASenc：用于和特定的加密算法一起保护NAS流量；KUPenc：用于和特定的加密算法一起保护UP流量；KRRCint：用于和特定的完整性算法一起保护RRC流量；KRRCenc：用于和特定的加密算法一起保护RRC流量。3.5LTE/SAE安全性激活在LTE中

27、，非接入层和接入层分别都要进行加密和完整性保护，它们是相互独立的，它们安全性的激活都是通过SMC命令来完成的，且发生在AKA之后。网络端对终端的非接入层和接入层的激活顺序是先激活非接入层的安全性，再激活接入层的安全性。3.5.1非接入层的安全模式过程非接人层安全模式命令过程激活非接人层安全，提供非接人层信令数据的完整性和机密性保护，该过程包含一个在MME和UE之问往返的消息。MME发送给UE一个非接人层(Non-access Strarum，NAS)安全模式命令，UE回复一个NAS安全模式完成消息。从MME到UE的NAS安全模式命令消息包含重放的UE安全能力、选择的NAS算法和标明密钥KASM

28、E的KSIASME，其中UE安全能力包括NAS安全能力、RRC和用户面加密和完整性。NAS安全模式命令消息利用NAS完整性密钥进行完整性保护，该密钥由消息中KSIASME标明的KASME密钥产生。UE验证NAS安全模式命令消息的完整性，如果验证成功，UE开始NAS完整性保护并且加解密，发送NAS安全模式完成消息给MME。NAS安全模式完成消息利用NAS安全模式命令消息中选择的加密和完整性保护算法进行加密和完整性保护，密钥基于KSIASME标明的密钥KASME。如果NAS安全模式命令消息的验证没成功，该过程将在ME端结束，并且ME将不发送NAS安全模式完成消息。图10 非接入层安全模式过程3.5

29、.2接入层的安全模式过程接人层安全模式命令激活接人层安全，提供接人层信令数据的完整性保护和机密性保护，并且提供用户面数据机密性的保护功能，该过程包含一个在ENB和UE之间往返消息。演进型基站(Evolved Node Base，ENB)发送给UE一个接人层(Access Stratum，AS)安全模式命令，然后UE回复一个AS安全模式完成消息。从ENB到UE的AS安全模式命令消息包括所选择的As算法和KSIASME，该消息由RRC完整性保护密钥保护，RRC完整性保护密钥由KASME得到，而KASME从KSIASME获得。从UE到ENB的AS安全模式完成消息利用AS安全模式命令消息中的RRC完整

30、性保护算法保护，RRC完整性保护密钥基于密钥KASME。如果AS安全模式命令过程不成功，该过程将在ME端终止，ME将不发送AS安全模式完成消息。图11接入层安全模式过程3.6LTE/SAE网络安全域网络域IP（或NDS/IP）安全是指在EPC（分组核心网）/E-UTRAN（接入网）中，对通过网元间接口交换的用户和信令消息进行保护。NDS/IP不适用于终端网络数据和信令传输，它们属于用户-网络安全范畴。IP网络的NDS（Network Domain Security）体系结构如图12所示。图12 IP网络的NDS体系结构整个网络是由一个或多个安全域构成的，每个安全域都是网络的一个子集，通常由单独

31、的管理中心进行管理。安全网关位于安全域的边缘，它汇聚了所有进出安全域的数据流。网元可以是属于E-UTRAN、EPC和IMS域的任意类型网络节点，如eNode B、MME（Mobility Management Entity）、S-CSCF等。Zb接口通常应用于单个安全域中网元之间或网元与安全网关之间，主要是由运营商进行控制的。相比之下，Za接口用于连接两个不同安全域的安全网关，需要运营商针对漫游问题进行协商。例如，E-UTRAN和EPC可能是由不同运营商进行管理的，因而属于不同安全域，这样S1接口将映射到Za接口。Za接口也可以应用于EPC和IMS域之间。NDS/IP的目标是为网络节点间交换的

32、敏感信息提供安全保护。这些敏感信息包括用户数据、订购信息、认证矢量和网络数据（如MM上下文、策略和计费信息）以及在CSCF节点间交换的IMS信息。NDS/IP框架提供三种类型的保护：数据源认证，用于避免接收来自假冒实体发送的分组；数据完整性，用于避免数据在传输过程中被篡改；数据机密性，用于避免数据在传输过程中被窃听。作为硬件安全需求与处理需求的折衷，不是所有情况下都要用到所有保护机制。例如，完整性和机密性保护对于eNode B和MME之间的S1接口来说是非常重要的，因为通过该接口需要交换大量的敏感信息（用户密钥、用户身份等）。但是，用户完整性保护对于网络中所有eNode B和MME设备来说，并

33、不是必需的。这就是用户平面仅需要进行加密以防止窃听的原因。对于信息来说，LTE系统中各类接口上可用的NDS/IP机制如表1所示。从NDS/IP角度来看，无论网络节点在网络中发挥何种作用，它们都可以看作是纯IP节点。因此，3GPP网络中的NDS/IP可以使用IETF定义的典型安全流程和机制：网元之间的安全可以通过IPSec隧道来实现；数据认证、完整性和机密性保护可以使用隧道模式下的ESP（Encapsulating Security Payload,封装安全载荷）来实现；安全密钥协商可使用IKE（互联网密钥交换）协议来实现。3.7LTE/SAE安全机制安全性分析本节通过对以上安全机制的剖析，结合

34、3G的安全机制特点，具体分析了LTE/SAE安全机制的安全性：3.7.1LTE安全机制优越性在原第三代移动通信的认证与密钥协商机制中，用户和网络之问的相互认证依赖于UE和HSS共享的秘密密钥K。协议运行成功后，可以达到如下安全目标:：(1)VLR对UE盼认证以及UE对HSS的认证；(2)UE与VLR之间的密钥分配；(3)确保UE与VLR之间密钥的新鲜性。但是该协议也存在一些安全缺陷，具体如下：(1)只有UE对HSS和VLR对UE的认证，没有UE对VLR的认证，易遭受重定向攻击；(2)用户漫游到不同地域时，归属网络会把认证向量发送到漫游网络，易被截获；(3)用户开机注册或初次加入网络，或因特殊情

35、况需要网络无法恢复出用户的IMSI时，用户将以明文发送IMSI，易被截获；(4)SQN序列号重同步缺陷；(5)UE和HSS需要长期共享密钥K，一旦泄露，攻击者可以轻而易举地获得机密通信的密钥，从而截获所有用户数据，将对用户产生不可估量的损失；(6)不支持数据签名服务。3GPP最新发布的LTESAE Release 8标准对认证与密钥协商协议做了适当修改，在MME发送HSS的认证数据请求消息中，增加了服务网络的身份信息，并针对MME从HSS请求多个认证向量情况下的处理机制做了规定，进一步提高了认证与密钥协商协议的安全性：(1)增加了UE对服务网络的认证。3GPP LTESAE认证与密钥协商协议中

36、，在从MME到HSS的认证数据请求中，增加了服务网络身份标识(SNID)，通过在HSS侧验证SNID，HSS可以确保MME的合法性，UE也间接地对服务网络的身份进行了认证。假设UE位于家乡网络(HN)，信任虚假基站必须用广播信道广播local SNID。在接到UE的接入请求后，攻击者通过虚假基站将UE的请求消息转发到一个外地网络，在请求消息中包含local SNID。外地网络的MME收到UE的连接请求后，将用户身份IMSI，SNID发送到HN以请求认证向量，由于此时的SNID为visit SNID，此时HSS验证服务两个网络号不相同，拒绝认证向量的请求，从而防止了虚假基站的重定向攻击；(2)避

37、免了SQN序列号重同步缺陷。在3GPP LTESAE认证与密钥协商协议中，一次认证与密钥协商过程MME尽量保证只从HSS取一个认证向量，UE和MME分别使用独立的SQN序列号管理机制。当有多个认证被MME请求的时候，MME按序存储这些认证向量，并保证在认证与密钥协商过程中使用编号最小的认证向量，从而可以有效地避免SQN序列号重同步问题给系统带来的影响。3.7.2LTE安全漏洞3GPP LTESAE认证与密钥协商协议虽然在一定程度上做了适当修改，使得安全性能大幅度提高，但是仍然存在用户认证向量易被截获、IMSI用户身份泄露的安全缺陷，恶意人侵者可以通过监听信号获得用户IMSI信息，假冒用户身份入

38、网，另外可以通过在网络域截获用户认证向量，获取机密通信的密钥，此时恶意入侵者即可以享受完全的加密通信。此外，UE和HSS长期共享密钥K以及不支持数据签名服务也给系统带来了潜在的安全问题。3.7.2.1私钥密码体制的缺陷LTE/SAE仍然只采用了私钥密码体制，而未采用公钥密码体制。但采用私钥密码体制来实现对通信信息的加密，其本身存在许多局限性。虽然私钥密码体制具有安全性能高，算法处理速度快的优点，但私钥密码体制采用共享密钥的密钥管理方式，由此产生了移动通信网络间复杂而棘手的认证密钥安全管理问题，容易引起移动用户与运营商之间难以解决的付费纠纷问题。另外，在私钥密码体制下UE和网络只有建立了安全关联

39、以后才能提供空中接口的安全，造成在安全关联建立之前的信令不能被保护，因此IMSI保护等问题始终得不到较好的解决。3.7.2.2eNB的脆弱性由于eNB可以部署在非安全的环境中，因此eNB将面临多种攻击，如被攻击者非法占领控制（3GPP认为这种攻击发生的概率较大），造成eNB内部使用的密钥被泄露，使网络接入安全面临严重威胁。当eNB被攻击者非法占领控制时，那么目前UE切换时的密钥管理方法存在如下缺陷：目标eNB上使用的密钥KeNB基于源eNB上的密钥KeNB推演得到，因此攻击者获取源eNB上使用的密钥KeNB后，可以推演得到目标eNB上使用的密钥KeNB，进而导致威胁进一步向以后的eNB扩散，因

40、此当UE进行越区切换时接入层密钥（KeNB）的更新不具有后向安全性。参考文献：1 3GPP TS 35201Specification of the 3GPP confidentiality and integrity algorithms；Document：f8 and9 specifications2 3GPP TS 33. 401 V8, 3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; 3GPP System Architecture Evolut

41、ion ( SAE) ; Security architecture S .3 3GPP TS 33.102.2008-12, 3G Security：Security ArchitectureS4 3GPP TS 33120 3G Security: Security principles and objective5 3GPP TR 33.821.2007-05, Rationale and track of security decisions in Long Term Evolved (LTE) RAN / 3GPP System Architecture Evolution (SAE

42、) S6 3GPP.TS 36.323 V8, 3rd Generation Partnership Project; Technical Specification Group Radio Access Network; Evolved Universal Terrestrial Radio Access(E-UTRA); Packet Data Convergence Protocol(PDCP) specificationS.7 3GPP TS 23057 Mobile Station Application Execution Environment8 Information tech

43、nologySecurity techniquesEntity authenticationPart 4：Mechanisms using a cryptographio check function9 3GPP TS 23002：”Network Architecture”10 3GPPTS 33103 3G security: Integration guidelines11 3GPPTS 43020: Security-related network function12 3GPP TS.36323“Evolved Universal Terrestrial Radio Access(E

44、-UTRAN)；Packet Data Convergence Protocol(PDCP) specification” 200913 Juang Wen -Shen, Wu Jing - Lin. Efficient 3GPP Authentication and Key Agreement With Robust User Privacy ProtectionC/Proceeding of W CNC 2007. Hong Kong: IEEE, 2007: 2551-255614 Yan Zhang and Masayuki Fujise, “An improvement for au

45、thentication protocol in third-generation wireless networks,” IEEE Transactions on Wireless Communications, Vol.5,No.9, September 2006.15 Zhang M , Fang Y. Security Analysis and Enhancements of 3GPP Authentication and Key Agreement ProtocolJ. IEEE Transactions on Wireless Communications,2005,4(2):73

46、4-742.16 Dan Forsberg, LTE key management analysis with session keys context, Computer Communications, 33 (2010) 1907191517 Zheng Xiankun，Liu Changjiang. An improved authentication and key agreement protocol of 3G, International Workshop on Education Technology and Computer Science, ETCS 2009,2009:7

47、33-73718 Li Xiehua, Zhang Xiaohong. Formal verification for EAP_AKA protocol in 3G networks, International Conference on computational Intelligence and Software Engineering, 2009:536341319 谭利平，李方伟. 移动通信系统中的认证与密钥协商协议，重庆邮电大学，2007,27（06）：13431344，134820 徐胜波，马文平，王新梅，无线通信网中的安全技术人民邮电出版社，2003136162 21 王志勤第三代移动通信发展概况江苏通信技术2003，V0119：6-922 郭梯云，邬国杨，李建东移动通信(修订版)西安电子科技大学出版社20017-1P25525823 周金芳，朱华飞，陈抗生GSM安全机制移动通信1999，V015：24-2524 李翔3G的安全体系结构电信技术200210：24-2725 李文宇.移动通信系统的长期演进无线网络结