2G3G4G系统中鉴权与加密技术演进(4)

系统有两层保护，而不像UMTS系统只有一层安全保障。第一层为E-UTRAN网络中的RRC安全和用户面（UP）安全，第二层是EPC（演进的包核心）网络中的NAS信令安全。

这种设计目的是使E-UTRAN安全层（第一层）和EPC安全层（第二层）相互的影响最小化。该原则提高了整个系统的安全性；对运营商来说，允许将eNB放置在易受攻击的位置而不存在高的风险。同时，可以在多接入技术连接到EPC的情况下，对整个系统安全性的评估和分析更加容易。即便攻击者可以危及第一个安全层面的安全，也不会波及到第二个安全层面。

图5.4.1 LTE/SAE安全层次

5.5 LTE/SAE密钥架构

为了管理UE和LTE接入网络各实体共享的密钥，LTE定义了接入安全管理实体（ASME），该实体是接入网从HSS接收最高级（top-level）密钥的实体。对于LTE接入网络而言，MM执行ASME的功能。LTE/SAE网络密钥层次架构如图9所示。

图5.5.1 LTE/SAE网络密钥层次架构

16

LTE/SAE网络的密钥层次架构中包含如下密钥： UE和HSS间共享的密钥。

K：存储在USIM和认证中心AuC的永久密钥；

CK/IK：AuC和USIM在AKA认证过程中生成的密钥对。 （2）ME和ASME共享的中间密钥。

KASME：UE和HSS根据CK/IK推演得到的密钥。密钥KASME作为SAE特定认证向量响应的部分从HSS传输到ASME。

（3）LTE 接入网络的密钥。

KeNB：用于推导保护RRC流量的密钥和UP流量的密钥； KNASint：用于和特定的完整性算法一起保护NAS流量； KNASenc：用于和特定的加密算法一起保护NAS流量； KUPenc：用于和特定的加密算法一起保护UP流量； KRRCint：用于和特定的完整性算法一起保护 RRC流量；

KRRCenc：用于和特定的加密算法一起保护RRC流量。

6、 LTE与2G/3G网络的兼容

用户在LTE和2G/3G之间切换时需要进行密钥转换。用户从2G/3G到LTE

时，LTE不信任2G/3G的密钥，因此在切换或小区重选（TAU）完成后，如果MME和UE之间没有存有转移之前协商好的LTE安全上下文，LTE网络会要求重新做AKA，生成新的安全上下文。如果存有转移之前协商好的LTE安全上下文，则启用原有安全上下文。考虑到减少切换信令交互的消耗时间和复杂度，切换过程中还是使用由2G/3G安全上下文影射（MAP）过来的安全上下文，根据UMTS/GERAN中的IK、CK生成KASME。

用户从LTE转移到2G/3G时，使用LTE安全上下文影射为GERAN/UMTS安全上，由KASME转换为CK、IK。

从2G/3G切换到LTE过程中，MME将CK/IK和PLMN-id生成KASME，KASME=KDF（IK，CK，PLMN-id），然后由KASME和上行NASCOUNT生成KeNB，使用的安全算法为默认的安全算法或UMTS/GERAN算法。在TAU过程中，如果存有原来协商好的安全上下文，则在TAU过程中使用存有的安全上下文，如果没有则将UMTS/GERAN安全上下文影射为LTENAS安全上下文。

7、结束语

3GPPLTE作为3G系统的长期演进技术，不仅使传输速度和系统容量得到了

提高，实现了系统时延的降低，而且提供了更坚实的安全架构和更缜密的安全措施，为用户数据提供了最大限度的安全保障。伴随着中国移动等运营商的高调介入，LTE/SAE将会获得长足的发展，成为中短期移动通信技术发展的一个重要方向。

17

参考文献

[1] 谭利平，李方伟 移动通信系统中的认证与密钥协商协议，重庆邮电大学，2007,27（06）：1343—1344，1348

[2]徐胜波，马文平，王新梅，无线通信网中的安全技术．人民邮电出版社，2003．136．162 ．

[3]王志勤．第三代移动通信发展概况．江苏通信技术．2003，V01．19：6-9 [4]郭梯云，邬国杨，李建东．移动通信(修订版)．西安电子科技大学出版社．2001．7-1．P255．258

[5]周金芳，朱华飞，陈抗生．GSM安全机制．移动通信．1999，V01．5：24-25

[6]李翔．3G的安全体系结构电信技术．2002．10：24-27

[7]李文宇移动通信系统的长期演进—无线网络结构和协议[J].电信科学,2006,22(6):29–33

[8]郑宇,何大可,梅其详.基于自验证公钥的3G移动通信系统认证方案[J].计算机学报,2005,8(8):1328-1332

[9]曾勇. LTE/SAE 密钥管理技术研究通信技术, 2009-07,42.

[10]郎为民,焦巧,蔡理金,宋壮志, 3GPP LTE系统安全性研究, 电信工程技术与标准化,2009.7 [11]郎为民，蔡理金，LTE系统中用户安全研究，通信管理与技术，2009-08

[12]宋健霖刘辉,LTE系统中接人层加密和完整性保护研究, 广西通信技术2010年第2期

18