移动网络安全LTE安全标准与协议.ppt

移动移动 网络安全标准与协议网络安全标准与协议1主要内容•EPS 安全综述安全综述•EPS AKA与与S.M.C过程过程•EPS MM程与程与HO过程中的安全过程中的安全•EPS KDF•EPS EEA1/2/3与与EIA/1/2/3算法算法2安全系统的两大基本问题密钥的管理与安全算法的管理独立进行安全密钥的管理安全算法的管理产生传递更新存贮新鲜性AKAHO加密算法的选择完整性算法选择算法的更新算法的存贮新鲜性SMC及HO3EPS 安全目标•双向认证•防止中间人攻击–网络将UE的安全能力通过I.P.方式传递给UE，UE检验是否受到修改•多安全算法•安全隔离•足够强度的密钥长度–目前定义为128位，但可容易更新到256位•向下兼容，但要有更高的安全强度–支持USIM卡，但不支持SIM卡•保持Key的新鲜性–COUNT不允许反转•两套安全上下文以支持ISR–USIM与ME同时支持两套安全上下文4EPS的最新特性：安全隔离的最新特性：安全隔离•保证非安全的影响最小化，当一个局部出现不安全时，不影响其它部分的安全性•不同算法之间的安全隔离–多安全算法，当一个算法不安全时，启用另一个安全算法。

•不同的PLMN之间安全隔离–Kasme的计算需要PLMN-Id–当PLMN发生改变，所有的Key及AV全部更新•不同的MME之间的安全隔离–当MME发生改变时，NAS S.C.可更新•不同的ENB之间的安全隔离–当ENB发生改变时，AS S.C.全部更新•不同的S.C.的安全隔离–在LTE内，当一个S.C.成为Current，原来的Current S.C.就删除，不再使用–在LTE内，当创建一个新的S.C.则覆盖Non-Current S.C.–当UE从GERAN/UTRAN切换到LTE后，一进入Idle或Detach，则旧RAT的S.C.删除•所有Key的计算都是单向函数–当一个Key被破解了，其父Key不位被破解5LTE/EPS加密与完整性保护 NASRRCUEENBS-GWMME加密与完加密与完整性保护整性保护加密与完加密与完整性保护整性保护加密或不加密，加密或不加密，没有完整性保护没有完整性保护NDS/IP(TS33.210)用户平面用户平面6LTE/EPS加密与完整性保护•NAS的加密（可选）–KNASCenc：NAS Ciphering Algorithm•NAS的完整性保护–KNASint：NAS Integrate Protection Algorithm•RRC的加密（可选）–KRRCenc：RRC Ciphering Algorithm•RRRC的完整性保护–KRRCint：RRC Integrate Protection Algorithm•UP的加密（可选）–KUPenc：UP(=RRC) Ciphering Algorithm7  USIM / AuC UE / MME KASME K KUPenc KeNB / NH KNASint UE / HSS UE / eNB KNASenc CK, IK KRRCint KRRCenc 8ME及USIM卡的能力•E-UTRAN不能使用，因此不能接入到LTE系统中，也就是2G的SIM卡不能用于LTE的UE中。

•只可实现GERAN与UTRAN之间的移动性•E-UTRAN可以使用，因此可实现GERAN、UTRAN与E-UTRAN之间的移动性•E-UTRAN可以使用，因此可实现GERAN、UTRAN与E-UTRAN之间的移动性 SIMMEGERANUTRANE-UTRAN USIMMEGERANUTRANE-UTRAN E-USIMMEGERANUTRANE-UTRANEMM S.C.能够存放EMM S.C.的USIM为E-USIM9USIM,ME及EPS S.C.•USIM产生的CK,IK传递给ME，ME产生EPS S.C.（如Kasme等）•ME产生的EPS S.C.是在Votile Memeory中，进入Detach时，将Kasme, Knasenc, Knasint, NAS Count, eKSI写入到ME中的Non-Votile Memeory中•USIM产生的CK,IK传递给ME，ME产生EPS S.C.（如Kasme等）•ME产生的EPS S.C.是在Votile Memeory中，进入Detach时，将Kasme, Knasenc, Knasint, NAS Count, eKSI写入到E-USIM中的Non-Votile Memeory中。

 USIMMECK,IK E-USIMMEEMM S.C.EPS S.C.CK,IKEPS S.C.10删除ME中存储的EPS S.C. (E-)USIMMEEPS S.C.•当ME中有EPS S.C.，当下面的情形出现时，则ME中的EPS S.C.与卡中的数据均出现冲突–开机状态下：卡被拨出，–关机状态下：换上另一张（E-）USIM卡时，–关机状态下：卡被拨出•为了解决上面的三个问题，就直接(在开机后）删除ME中存储的EPS S.C.开机状态下卡被拨出开机状态下卡被拨出关机状态下关机状态下USIM卡被换成另一个卡卡被换成另一个卡关机状态下卡被拨出关机状态下卡被拨出11USIM,ME及S.C.及IRAT移动性•GERAN/UTRAN的3G S.C.与EPS S.C.是相互独立的即使将一个映射到另一个时，就成为另外一个类型，而原来的类型不变，即两者还是独立的•当UE从LTE进入（HO或Idle的RAU）到GERAN/UTRAN后，SGSN执行UMTS AKA后，会出现两个S.C.，一个用于GERAN/UTRAN，而另一个用于EPS，这两个S.C.是独立的–若SGSN不执行UMTS AKA，则SGSN一直使用从EPS S.C.映射过来的3G S.C.，并且将此映射的3G S.C.替代所有的原来SGSN及UE上的3G S.C.•然后，当UE从GERAN/UTRAN通过HO到LTE后，UE使用的是从3G S.C.映射过来的Mapped EPS S.C.；–若前面SGSN没有执行UMTS AKA，则UE将原来的EPS S.C. 映射为Mapped 3G S.C.,此时使用的Mapped EPS S.C.是在此Mapped 3G S.C.的再次映射，而此时最初的EPS S.C.还是有效的但是进入了Non-Current状态。

–若此后，UE进入Idle状态后，再次进入连接状态，则使用原来的EPS S.C. 2次Mapped的EPS S.C.被删除（但Mapped 3G S.C.还是不作任何的变化）•若UE从GERAN/UTRAN通过Idle的TAU进入到LTE，则UE使用EPS S.C.，而3G S.C.（包括（E-）USIM中的CK,IK）不作任何的变化 USIMME E-USIMMEEMM S.C.EPS S.C.3G S.C.CK,IK,KSI3G S.C.CK,IK,KSIEPS S.C.12Type of EPS Security ContextSecurity ContextFull native SCPartial Native SC没有确定NAS完整保护算法及加密算法Mapped SCCNCNCC13Security ContextSecurity ContextEPSNAS Security ContextEPSAS Security ContextAS keys & IDNHNCCthe identifiers of the selected AS cryptographic algorithms &counters used for replay protection KASME,KSIasmeUE security capabilities UL&DL NAS COUNTKnas-int&Knas-enc&identifiers of the selected NAS integrity&encryption algorithms. Full EPS14EPS S.C.状态的转移•在EPS中，最多只能有一个Current及一个Non-Current EPS S.C.•当AKA产生一个Non-Current EPS S.C.时，若存在其它Non-Current，则覆盖之前的。

•通过NAS S.M.C.将一个Non-Current的EPS S.C.激活为Current时，新激活的EPS S.C.覆盖之前的Current EPS S.C.(可能是Native，也可能是Mapped)•但是当UE从GERAN/UTRAN切换到E-UTRAN时，UMTS S.C.是映射到EPS S.C.并自动成为Current EPS (mapped) S.C.，同时原来LTE中的Current EPS native S.C. 就自动地变为Non-Current，并覆盖原来的Non-Current这是一个很大的不同的Native EPS S.C.CurrentNon-CurrentFull(Knas)Partial(no Knas)Mapped EPS S.C.Full(Knas)Partial(no Knas)AKANAS SMC从从GERAN/UTRAN切换到切换到LTE从从GERAN/UTRAN切换到切换到LTE15EPS UE与EMM S.C.•当UE关机或进入DEREGISTER状态时，EMM S.C.只能放入到ME中的Non-Votile Memeory中•当UE开机时，使用ME中的EMM S.C.•当UE关机或进入DEREGISTER状态时，ME中的EMM S.C.必须存放到USIM中的Non-Votile Memeory中并标识有效，还标识ME中的S.C.无效（相当于删除）。

•当UE开机时，使用USIM中的EMM S.C.（如果标识为有效）.UMTSUSIME-UTRANMEE-UTRANUSIME-UTRANMEEMM S.C.EMM S.C.EMM S.C.16Current EPS S.C.的选择与激活•If the MME receives a TAU Request or Attach Request protected with a non-current full EPS security context, then this context becomes the current EPS security context and the MME shall delete any existing current EPS security context.•After a successful run of a NAS SMC relating to the eKSI associated with an EPS security context, this context becomes the current EPS security context and shall overwrite any existing current EPS security context. 17S.C.的类型与状态的关系Non-CurrentCurrentFull Mapped EPS S.C.Not allowed当UE从GERAN/UTRAN通过HO进入到E-UTRAN中。

当UE从G/U通过Idle TAU（或先是HO进入E然后进入Idle)进入E时，若UE有Full Native S.C.时，UE应当使用这个Full Native S.C.，否则，UE使用Mapped EPS S.C.Partial (Native) EPS S.C.执行了EPS AKA过程，但没有通过NAS S.M.C过程激活使用此KSIasmeNot allowedFull native EPS S.C.执行了EPS AKA过程，并且通过NAS S.M.C过程激活Kasme0，此时Kasme0是Full Native Current但UE进入GERAN/UTRAN后通过UMTS AKA及S.M.C过程激活了UMTS S.C.，当UE切换到回LTE时，Mapped EPS S.C.成为Current时，则Kasme0就成为了Non-Current执行了EPS AKA过程，并且通过NAS S.M.C过程激活使用此KSIasme18Storage S.C. in the UE during power-offS.C. in the ME volatile Memory USIMME NV-MEMEMM capable in USIMNo EMM capable in USIMFull native EPS S.C. Full native S.C is Stored and markedvalidN/AAny native S.C. is marked invalid or removed.N/AYesFull native S.C is Stored and markedvalidFull mapped EPS S.C. or partial native EPS S.C.Any native S.C. is marked invalid or removed.19主要内容•EPS 安全综述安全综述•EPS AKA与与S.M.C过程过程•EPS MM程与程与HO过程中的安全过程中的安全•EPS KDF•EPS EEA1/2/3与与EIA/1/2/3算法算法20EPS Authentication and Key Agreemen UEMMEHSSGenerate authenticationvectors AV(1..n)Store authentication vectorsSelect authentication vector AV(i)Authentication data requestAuthentication data responseAV(1..n)User authentication requestKSIasme,RAND(i) || AUTN(i)User authentication responseRES(i)Compare RES(i) and XRES(i)Verify AUTN(i)Compute RES(i)Select Kasme(i)Authentication andkey establishmentDistribution ofauthenticationvectors from HEto SNCompute CK(i) and IK(i),thenKasme(i)21EPS AKA•If the keys CK, IK resulting from an EPS AKA run were stored in the fields already available on the USIM for storing keys CK and IK this could lead to overwriting keys resulting from an earlier run of UMTS AKA. This would lead to problems when EPS security context and UMTS security context were held simultaneously (as is the case when security context is stored e.g. for the purposes of Idle Mode Signaling Reduction). •Therefore, "plastic roaming" where a UICC is inserted into another ME will necessitate an EPS AKA authentication run if the USIM does not support EMM parameters storage. –也就是说，在EPS AKA过程中产生的CK,IK不能存贮于USIM中存贮UMTS AKA产生的CK,IK的地方。

USIM应当为EPS AKA的CK,IK使用独立的Files若USIM不支持EMM File，则EPS CK,IK必须存贮在ME中这就说明，当USIM不支持EMM Files，当USIM卡换ME时，则必须要执行EPS AKA过程22EPS-Authentication Vector说明Kasme不是由MME产生的，而是由HE直接产生的RANDXRESAUTNKasmeCKIKKc23EPS user authentication (EPS AKA) 24UMTS HSSAMFRANDSQNKf1f2f3f4f5MACXRESCKIKAKAMFSQNSQN(+)AKAMFMACMAC认证向量五元组认证向量五元组认证令牌认证令牌认认证证算算法法认证配置认证配置RANDAUTNHSS25UMTS UERANDKf1f2f3f4f5XMACRESCKIKSQN(+)AK双向认证双向认证认证令牌及随机数认证令牌及随机数AMFMACSQNAK认认证证算算法法MACUSIMMEME26EPS HSSAMFRANDSQNKf1f2f3f4f5MACXRESCKIKAKAMFSQNSQN(+)AKAMFMACMAC认证向量四元组认证向量四元组认证令牌认证令牌认认证证算算法法认证配置认证配置RANDAUTNSN-IdKasmeHSS27EPS UERANDKf1f2f3f4f5XMACRESCKIKSQN(+)AK双向认证双向认证认证令牌及随机数认证令牌及随机数AMFMACSQNAK认认证证算算法法MACUSIMSN-IdKasmeMEME28Different serving network domains MMEMMESGSNAn SGSN may forward unused UMTS authentication vectors to an MME UMTS AVs which were previously stored in the MME may be forwarded back towards the same SGSN. UMTS AVs which were previously stored in the MME shall not be forwarded towards other SGSNs.EPS authentication vectors shall not be forwarded from an MME towards an SGSN.Unused EPS authentication vectors shall not be distributed between MME's belonging to different serving domains (PLMNs)UMTS authentication vectors that were previously received from an SGSN shall not be forwarded between MME'sOnly EPS AVs in the same PLMNOnly UMTS AVs in the same SGSNOnly UMTS AVs in the same PLMN2930MMEHSSCK,IKKDF256256SN id, SQN,   AKKeNBKASME256KDFKDFKDFKDF256-bitkeysKNASencKNASint128-bitkeysKNASencKNASintTruncTrunc256256128128256256256NAS-enc-alg,Alg-IDNAS-int-alg,Alg-IDNAS UPLINK COUNTKDFKDF256-bitkeysKRRCencKRRCint128-bitkeysKRRCencKRRCintTruncTrunc256256128128256256RRC-enc-alg,Alg-IDRRC-int-alg,Alg-IDUP-enc-alg,Alg-ID256256Physical cell ID, EARFCN-DL256KeNBeNBeNBKeNB*KDFKUPencKUPenc256256128TruncKDFNHNHKeNB25631MECK,IKKDF256256SN id, SQN,   AKKeNBKASME256KDFKDFKDFKDF256-bitkeysKNASencKNASint128-bitkeysKNASencKNASintTruncTrunc256256128128256256256NAS-enc-alg,Alg-IDNAS-int-alg,Alg-IDNAS UPLINK COUNTKDFKDF256-bitkeysKRRCencKRRCint128-bitkeysKRRCencKRRCintTruncTrunc256256128128256256RRC-enc-alg,Alg-IDRRC-int-alg,Alg-IDUP-enc-alg,Alg-ID256Physical cell ID, EARFCN-DL256256KeNB*KDFKUPencKUPencTrunc256128256KDFNHNHKeNB25632Kasme与SN ID•SN ID=MCC+MNC•Kasme=f(CK, IK, SN id, SQN(+)AK )•Kasme的产生与SN id有关，因此，当SN id发生改变时，则原来的Kasme不能使用。

•因此，在Inter-PLMN的TAU时，则必须要运行EPS AKA33NAS COUNT Reset0      NAS Count(复位）AKAS.C. Mapping in UTRAN/GERANE-UTRAN HO S.C. Mapping in UTRAN/GERANE-UTRAN idle Mobility The NAS COUNTs shall not be reset during idle mode mobility or handover for an already existing native EPS NAS security context.也就是说NAS Count快还返转时，就要更换Kasme了34NAS S.M.C•The NAS security mode command message from MME to UE shall contain the replayed UE security capabilities, the selected NAS algorithms, the eKSI for identifying KASME, and both NONCEue and NONCEmme in the case of creating a mapped context in idle mobility. This message shall be integrity protected (but not ciphered) with NAS integrity key based on KASME indicated by the eKSI in the message . •The UE shall verify the integrity of the NAS security mode command message. This includes ensuring that the UE security capabilities sent by the MME match the ones stored in the UE to ensure that these were not modified by an attacker and checking the integrity protection using the indicated NAS integrity algorithm and the NAS integrity key based on KASME indicated by the eKSI. In addition, when creating a mapped context for the case described in clause 9.1.2, the UE shall ensure the received NONCEUE is the same as the NONCEUE sent in the TAU Request and also calculate K'ASME from CK, IK and the two nonces (see Annex A.11). •If successfully verified, the UE shall start NAS integrity protection and ciphering/deciphering with this security context and sends the NAS security mode complete message to MME ciphered and integrity protected The NAS security mode complete message shall include IMEI in case MME requested it in the NAS SMC Command message.•The MME shall de-cipher and check the integrity protection on the NAS Security Mode Complete using the keys and algorithms indicated in the NAS Security Mode Command. NAS downlink ciphering at the MME with this security context shall start after receiving the NAS security mode complete message. NAS uplink deciphering at the MME with this context starts after sending the NAS security mode command message. MMEUENAS S.M.Command(UE S.Cap, Selected NAS Algoritm, eKSI, IMEISV Request, NONCEue, NONCEmme, NAS-MAC)NAS S.M.Complete( IMEISV, NAS-MAC )Start I.P. & (de-)CipheringStart UL de-CipheringStart DL-CipheringStart I.P.35Nonce•If the MME does not have the context indicated by the UE in the TAU request, or the TAU request was received unprotected, the MME shall create a new mapped security context (that shall become the current security context). In this case, the MME shall generate a 32bit NONCEmme  and use the received NONCEue with the NONCEmme to generate a fresh mapped K'ASME from CK and IK, where CK, IK were identified by the KSI and P-TMSI in the TAU Request. See Annex A.11 for more information on how to derive the fresh K'ASME. •The MME initiates a NAS Security mode command procedure with the UE including the KSISGSN, NONCEUE, and NONCEMME in the NAS Security mode command. –The uplink and downlink NAS COUNT for mapped security context shall be set to start value (i.e., 0) when new mapped security context is created in UE and MME.•Nonce-UE–When creating a mapped context for the case described in clause 9.1.2, the UE shall ensure the received NONCEUE is the same as the NONCEUE sent in the TAU Request and also calculate K'ASME from CK, IK and the two nonces (see Annex A.11). 36AS S.M.C•The AS security mode command message from eNB to UE shall contain the selected AS algorithms. This message shall be integrity protected with RRC integrity key based on the current KASME. •The AS security mode complete message from UE to eNB shall be integrity protected with the selected RRC algorithm indicated in the AS security mode command message and RRC integrity key based on the current KASME. •RRC and UP downlink ciphering (encryption) at the eNB shall start after sending the AS security mode command message. RRC and UP uplink deciphering (decryption) at the eNB shall start after receiving and successful verification of the AS security mode complete message. •RRC and UP uplink ciphering (encryption) at the UE shall start after sending the AS security mode complete message. RRC and UP downlink deciphering (decryption) at the UE shall start after receiving and successful verification of the AS security mode command message 37AS SMC过程38AS SMC与NAS SMC的同步•NAS SMC正在进行–1:MME不应当发起触发AS SMC的S1-AP过程–6：MME只有完成了NAS SMC后才继续Inter-MME HO。

•Inter-ENB HO正在进行–5： 源ENB reject触发AS SMC的S1-AP过程–5：源ENB当AS Refresh/Re-key结束后，才可以进行HO•HO过程中–3：MME发起NAS SMC，但在HO Request/Path Switch Request Acknowledge中使用Old AS S.C.–4：UE收到NAS SMC，但在HO过程中继续使用Old AS S.C.•触发AS SMC的SA-AP正在进行中–2：MME不应当发起NAS SMC.–7：MME当S1-AP结束后，才可以进行Inter-MME HO•NAS SMC完成，但S1-AP未进行–8,9：有Inter-MME HO，新旧MME则继续使用Old AS S.C.传输，同时在S10接口上传输两套S.C.39主要内容•EPS 安全综述安全综述•EPS AKA与与S.M.C过程过程•EPS MM程与程与HO过程中的安全过程中的安全•EPS KDF•EPS EEA1/2/3与与EIA/1/2/3算法算法40EPS MM程与程与HO过程中的安全过程中的安全•LTE内的状态迁移时的安全上下文的处理•LTE内TAU过程。

•UTMS与LTE之间的RAU，TAU过程•LTE内的X2,S1 Handover过程•LTE与UMTS之间的切换过程41Transition To EMM-DEREGISTERED•If UE and MME have a full non-current native EPS security context and a current mapped EPS security context, then they shall make the non-current native EPS security context the current one.•UE and MME shall delete any mapped or partial EPS security contexts they hold.NC-FNC-PC-MC-FEMM-DEREGISTEREDEMM-REGISTEREDC-FE-USIMMEUSIMMEC-F42To EMM-DEREGISTERED的其它场景AVNC-PC-FAVC-FAVNC-PC-FUE-initiated Detach with Power off•UE-int Detach without Power off•MME-int Detach Explicitly with re-attach•MME-int Detach ImplicitlyHSS-initiated Detach with Subscription withdrawn43To EMM-DEREG. with TAU RejectNC-PC-FNC-PC-FMEE-USIMNC-PME(E-)USIMMEMENC-PC-FMEUSIMMENC-PC-F44Away From EMM-DEREGISTEREDNC-PC-FE-USIMMEUSIMMENC-PC-F(E-)USIMMEC-FAttach Request with I.P. and MME sets new C-F S.C.If there is no F-S.C. in MME, AKA is runned.C-FAttach Request with I.P. andMME sets new C-F S.C.If there is no F-S.C. in MME, AKA is runned.Attach Request without I.P.MME Runs EPS AKA45 From ECM-IDLE to ECM-CONNECTED初始化的NAS消息不能加密NC-PC-FE-USIMMEMENC-PC-FC-FC-FKnasint对初始化的NAS消息进行I.P.KnasencKnasint对初始化的NAS消息进行I.P.Knasenc进入进入ECM-Connected时，时，MME将将E-USIM中的中的C-F标识为无效！以保标识为无效！以保证证ME中的中的C-F是有效的。

是有效的USIM46 From ECM-IDLE to ECM-CONNECTEDKnasenc= f(Kasme,0x15|0x01|0x0001|EEA1/2|0x0001)Knasint= f(Kasme,0x15|0x02|0x0001|EIA1/2|0x0001)Kenb = f(Kasme,0x11|UL NAS Count|0x0004 )NH0 = f(Kasme,0x12|Kenb|len(Kenb)=0x0020=32 )NH* = f(Kasme,0x12|NH |len(NH) )NC-P/FC-F/ME-USIMMEC-FKnasint对初始化的NAS消息进行I.P.KnasencInitial UE Context Setup(UE S.Capability, Kenb)Kenbf(Kasme)NCC0 NHf(Kasme,Kenb)NCC1EPS AKAUL/DL NAS Count0当当MME改变且改变且PLMN-ID发生改变时，必须要执行，发生改变时，必须要执行，否则根据否则根据MME的的Policy来来决定决定NAS S.M.C.AS S.M.C (EncAlg, IpAlg),仅仅用于仅仅用于(extended) Service Request消息或消息或TAU With Active Flag消息消息47From ECM‑CONNECTED to ECM-IDLENC-P/FC-F/xE-USIMMEMEC-F/MNC-P/FNC-P/FC-F/M•UE S.Capability•对于Full Native S.C中Knasint,Knasenc不存贮不存贮USIM•UE S.Capability•对于Full Native S.C中Knasint,Knasenc不存贮不存贮48MME传递Kenb给ENBMMETarget eNBInitial Context Setup (UE S.Cap, Kenb)UE Context Modification(UE S.Cap, Kenb)eNB: 0 NCC, after receiving S1-AP Initial Context Setup Request message.49Intra-LTE TAU•K’asme = f(CK||IK, 0x19|NONCEue|0x0004|NONCEmme|0x0004)UEMMEoMMEnUE注册到MMEo中TAU Request with I.P.(native GUTI, eKSI,LVTAI )Context Request( GUTI, Complete TAU message )Context Response(IMSI, MM Context(CK,IK,KSI), UE S.Capability, EPS Bearers, EPS AVs )TAU Response(GUTI,TAI List )NAS S.M.Command(eKSI, Selected NAS S.Alg, UE S.Cap)NAS S.M.Complete()50From E-UTRAN to UTRAN RAU•NAS-Token = f(Kasme,0x17|UL NAS COUNT|0x0004)•CK’|IK’       = f(Kasme,0x1B|UL NAS COUNT|0x0004)•Kc               = f(CK|IK,0x32)UEMMESGSNUE注册到MME中RAU Request(P-TMSI,old RAI,P-TMSI Signature, KSI )RAU Request(P-TMSI,old RAI,P-TMSI SignatureKNAS-Token, KSI )Context Request(P-TMSI, old RAI, P-TMSI SignatureNAS-Token )Context Response(IMSI, MM Context( CK’,IK’,KSI, UE U/G S.Cap), PDP Context )比较NAS-Token，为了可靠，使用一个区间的UL NAS Count值,验证通过后，计算出CK’,IK’通过Kasme及UL NAS Count+1　计算出Nas-Token，放到P-TMSI Signature中,并计算出CK’,IK’，并将CK’|IK’，KSI将代替USIM中所有的CK,IK,KSI，计算更新USIM中的Kc，CKSN。

RAU Response(P-TMSI，P-TMSI Signature )将CK’|IK’，KSI将代替SGSN中所有的可能CK,IK,KSIRNCS.M.C.(Allowed S.Alg List, CK,IK )S.M.C.(Selected S.Alg )S.M.Complete()S.M.Complete(Selected S.Alg )ISR激活的情形ISR没有激活，或一般的情形51From UTRAN to E-UTRAN TAU•K’asme = f(CK||IK, 0x19|NONCEue|0x0004|NONCEmme|0x0004)UESGSNMMEUE注册到SGSN中TAU Request(native GUTI, eKSI )TAU Request(mapped GUTI,P-TMSI Signature, CKSN, LVTAI,  NONCEue, native GUTI, eKSI)Context Request(IMSI, Old GUTI(P-TMSI, old RAI), P-TMSI Signature )Context Response(IMSI, MM Context(CK,IK,KSI), PDP Context )若UE还有Current EPS NAS S.C.,则TAU Request消息必须包含nGUTI,eKSI,并用此S.C.进行I.P.,否则此消息无I.P.，且没有nGUTI, eKSITAU Response(GUTI,TAI List )若前面通过了I.P.，则使用原来的EPS NAS S.C.,否则，则根据CKSN及CK,IK，NONCEue/mme产生Mapped Kasme。

eNBNAS S.M.Com/CmpISR激活的情形ISR没有激活，即一般的情形若MME上有此UE的Context，则通过I.P.的比较，则可得到UE的IMSI不是使用原来的Current EPS NAS S.C.或改变算法时，执行此过程Current EPS NAS S.C.也可以是Mapped EPS NAS S.C.52Key-change-on-the fly •initiated by the eNB when a PDCP COUNTs is about to be re-used with the same Radio Bearer identity and with the same Kenb–Intra-Cell Handover•AKA and later NAS S.M.C. or Activation of a native context after handover from UTRAN or GERAN •initiated by the MME when a NAS EPS security context different from the currently active one shall be activated.•initiated by the MME when an EPS AS security context different from the currently active one shall be activated.Re-freshKenbKrrcencKrrcintKupencRe-KeyingKasmeKnasencKnasintKenbKrrcencKrrcintKupenc53= f(Kasme,0x12|Kenb|0x0020)f(NH, 0x13|PCI|0x0002|EARFCN-DL|0x0002)f(Kasme,0x12|NH |len(NH) )f(Kasme,0x11|UL NAS Count|0x0004 )Model for the handover key chainingf(Kenb, 0x13|PCI|0x0002|EARFCN-DL|0x0002)NCC:         Next Hop Chaining CountPCI:           Physical Cell Identifier. EARFCN: E-UTRA Absolute Radio Frequency Channel Number. 当当Kasme变化时，变化时，NCC，，Kenb及及NH需要全部重新开始计算！需要全部重新开始计算！54KeNB derivation• If KeNB* is derived from the currently active KeNB this is referred to as a horizontal key derivation•if the KeNB* is derived from the NH parameter the derivation is referred to as a vertical key derivation •On handovers with vertical key derivation the NH is further bound to the target PCI and its frequency EARFCN-DL before it is taken into use as the KeNB in the target eNB–Kenb*= f(NH, 0x13|PCI|0x0002|EARFCN-DL|0x0002)•On handovers with horizontal key derivation the currently active KeNB is further bound to the target PCI and its frequency EARFCN-DL before it is taken into use as the KeNB in the target eNB–Kenb*= f(Kenb, 0x13|PCI|0x0002|EARFCN-DL|0x0002) 55Inter-ENB切换的所要解决的问题•前向–切换后，源ENB不能知道目标ENB所使用的Kenb•切换后，目标ENB通过使用Intra-eNB HO来实现。

–目标ENB，使用目标MME所采用的NH，产生新的Kenb*•反向–切换后，目标ENB不能知道源ENB所使用的Kenb•源ENB以空闲的｛NH,NCC}产生Kenb*（若没有空闲的，则以当前的Kenb来产生）并传输给目标ENB，目标ENB无法知道源ENB所使用的Kenb56从Source eNB传递Kenb*到Target eNBTarget eNBSource RAN(eNB)S-2-T TC (HandoverPreparationInformation)S1-Handover orIRAT_HO to LTEHandover Request (UE S.Capability, Kenb*,NCC)X2-HandoverUERRC Connection Reconfiguration in the HO Command IntraLTE : (Selected S.Alg, NCC)InterRAT: (Selected S.Alg, NasSecurityParamToEUTRA）在在S1 HO及及IRAT HO to LTE中，中，Kenb*及及S-eNB所选择的所选择的AS算法的功能与算法的功能与X2中中的不一样的不一样,T-eNB can decipher and integrity verify the RRCReestablishmentComplete message on SRB1 in the potential RRCConnectionRe-establishment procedure. 57HO中MME传递NCC与NH给ENBMMETarget eNBHandover Request (NCC, NH,NASSecurityParamerstoEUTRAN)Path Switch Ack (NCC, NH)X2-HandoverS1-Handover orIRAT_HO to LTE•通过Kenb=f(NH,PCI,EARFCN-DL)T-eNB实现前向的安全保护。

•T-eNB通过Intra-Cell的HO实现Kenb的更新UERRC Connection Reconfiguration in the HO CommandIntraLTE : (Selected S.Alg, NCC)InterRAT: (Selected S.Alg, NasSecurityParamToEUTRA）NasSecurityParamToEUTRA用于IRAT HO to LTE58HO中UE中Kenb的计算UE(Kenb,sNCC,NH)(Kenb*,NCC*,NH*)RRC Connection Reconfiguration (rNCC)•If rNCC=sNCC, then Kenb*=f(Kenb, 0x13|PCI|0x0002|EARFCN-DL|0x0002)•If rNCC>sNCC, then NCC+1, NH*= f(Kasme,0x12|NH  |len(NH) ) until rNCC=sNCC, then Kenb*=f(NH)Kenb = f(Kasme,0x11|UL NAS Count|0x0004 )NH0 = f(Kasme,0x12|Kenb|len(Kenb)=0x0020=32 )NH* = f(Kasme,0x12|NH |len(NH) )Kenb*      =  f(Kenb or NH, 0x13|PCI|0x0002|EARFCN-DL|0x0002)59LTE Intra-cell HOKenb*成为新的Kenb，并根据选择的的算法对后面的RRC消息进行C.及I.P.eNBMMEUERRC Connection ReconfigurationIntraLTE(Selected S.Alg,NCC)产生新的Kenb*=f(NH/Kenb）RRC Connection Reconfiguration Complete仍然使用原来的Kenb来CP及I.P.此消息使用新的Kenb*来检查CP及I.P.此消息，然后Kenb*成为新的Kenb60Kenb*成为新的Kenb，并根据选择的的算法对后面的RRC消息进行C.及I.P.UE根据NCC从Kenb计算出Kenb*，然后成为新Kenb,并以此Kenb及选择的算法对HO CMP消息进行C.及I.P.X2 Handover过程中的安全处理S-eNBT-eNBMMEHandover Request (UE S.Capability, Kenb*,NCC)Handover Request Ack(T-2-S TC(HO Command (RRCConnectionReconfig(NCC))))UERRCConnectionReconfig(NCC)Handover CompletePath Switch Request(UE S.Capability)Path Switch Request Ack(NCC,NH)RRC Connection ReconfigurationIntraLTE(Selected S.Alg,NCC)产生新的Kenb*=f(NH）产生新的Kenb*=f(NH）RRC Connection Reconfiguration Complete仍然使用原来的Kenb来CP及I.P.此消息使用新的Kenb*来检查CP及I.P.此消息，然后Kenb*成为新的KenbKenb*成为Kenb。

但是TC中的RRC消息还是明文的处理的NCC+1,NH=f(NH,Kasme)Kenb*应用未用的NH来计算，否则,使用当前的Kenb来计算61Kenb*成为新的Kenb，并根据选择的的算法对后面的RRC消息进行C.及I.P.UE根据NCC从Kenb计算出Kenb*，然后成为新Kenb,并以此Kenb及选择的算法对HO CMP消息进行C.及I.P.X2 Handover过程中的特殊情形S-eNBT-eNBMMEHandover Request (UE S.Capability, Kenb*,NCC)Handover Request Ack(T-2-S TC(HO Command (RRCConnectionReconfig(NCC))))UERRCConnectionReconfig(NCC)Handover CompletePath Switch Request(UE S.Capability)Path Switch Request Ack(NCC,NH)RRC Connection ReconfigurationIntraLTE(Selected S.Alg,NCC)产生新的Kenb*=f(NH）产生新的Kenb*=f(NH）RRC Connection Reconfiguration Complete仍然使用原来的Kenb来CP及I.P.此消息使用新的Kenb*来检查CP及I.P.此消息，然后Kenb*成为新的KenbKenb*成为Kenb。

但是TC中的RRC消息还是明文的处理的NCC+1,NH=f(NH,Kasme0)Kenb*应用未用的NH来计算，否则,使用当前的Kenb来计算EPS AKA and NAS S.M.CMME发起的发起的Kenb，，Krrc*,Kupenc的更新的更新62已计算出Kenb*，但是TC中的RRC消息还是明文的处理的UE根据NCC从Kenb计算出Kenb*，然后成为新Kenb,并以此Kenb及选择的算法对HO CMP消息进行C.及I.P.S1 Handover过程中的安全处理S-eNBT-eNBMMEHandover Required(S-2-T TC(HandoverPreparationInformation)) )Handover Request (NCC,NH, NAS S.P.tE, S-2-T TC (HOPreparationInforamtion))UERRCConnectionReconfig(NCC)Handover CompleteHandover Request Ack(T-2-S TC(HO CMD(RRCConnectionReconfig (NAS S.P.tE))))Handover Notify产生新的Kenb*=f(NH）使用新的Kenb*来检查CP及I.P.此消息，然后Kenb*成为新的KenbNCC+1,NH=f(NH,Kasme)Handover Command(NAS S.P.fE, T-2-C TC(HO CMD(RRC ConnectionReconfiguration) ))•若MME发生了改变，旧的MME也会将当前正在使用的Kasme及eKSI传递给新的MME。

•旧的MME，NCC+，并计算出一个新NH，并将｛NCC,NH}传递给新的MMENAS S.M.C.(eKSI, Selected NAS S.Alg, UE S.Cap)NAS S.M.Complete63已计算出Kenb*，但是TC中的RRC消息还是明文的处理的UE根据NCC从Kenb计算出Kenb*，然后成为新Kenb,并以此Kenb及选择的算法对HO CMP消息进行C.及I.P.S1 Handover过程中的特殊的情形S-eNBT-eNBMMEHandover Required(S-2-T TC(HandoverPreparationInformation)) )Handover Request (NCC,NH, NAS S.P.tE, S-2-T TC (HOPreparationInforamtion))UERRCConnectionReconfig(NCC)Handover CompleteHandover Request Ack(T-2-S TC(HO CMD(RRCConnectionReconfig (NAS S.P.tE))))Handover Notify产生新的Kenb*=f(NH）使用新的Kenb*来检查CP及I.P.此消息，然后Kenb*成为新的KenbNCC+1,NH=f(NH,Kasme)Handover Command(NAS S.P.fE, T-2-C TC(HO CMD(RRC ConnectionReconfiguration) ))•若MME发生了改变，旧的MME也会将以前使用的Kasme及eKSI传递给新的MME。

并且旧的MME，NCC+，并以旧的Kasme计算出一个新NH，并将｛NCC,NH}传递给新的MME•若MME发生了改变，旧的MME也会将新的Kasme及eKSI传递给新的MME并且，将{NCC=1,NH}传递给新的MMEEPS AKA and NAS S.M.C若若MME发生了改变，则发生了改变，则MME再次执行再次执行NAS S.M.C，整个，整个Key的的Re-key若若MME没有发生改变，则没有发生改变，则MME则要进入整个则要进入整个AS Key的的Re-Key过程过程64Forward security•In the context of KeNB key derivation, forward security refers to the property that, for an eNB with knowledge of a KeNB, shared with a UE, it shall be computationally infeasible to predict any future KeNB, that will be used between the same UE and another eNB. •More specifically, n hop forward security refers to the property that an eNB is unable to compute keys that will be used between a UE and another eNB to which the UE is connected after n or more handovers (n=1 or 2). 65防止KSI与eKSI冲突的方法•由于R8的SGSN只认识KSIsgsn，因此当EPS S.C.UMTS S.C.时，必须是Replace。

•但由于MME认识KSIsgsn与KSIasme，因此当UMTS S.C.EPS S.C.时无需进行Replace，因为KSIsgsn与KSIasme即使是相同的取值但使用不同的类型66UTRANLTE的场景•UE有多个UMTS S.C.没有任何的Native EPS S.C.–Idle:使用KSIsgsn来保护TAU，MME根据SGSN的CK,IK,KSIsgsn，产生K’asme，并产生NAS Key与Kenb及选择安全算法后面，执行EPS AKA（Fly）或C-->IC–HO:使用KSIsgsn来作HO，后面同上•UE有多个UMTS S.C.有一个Full native EPS S.C.–Idle：使用FN EPS S.C.来保护TAU–HO：使用KSIsgsn来作HOMME产生K’asme，并产生NAS Key与Kenb及选择安全算法 TAU Request还是用KSIsgsn来保护，但UE有Native EPS S.C.还必须包含KSIasme在ISR的情形下，UE可能不发送TAU，因此在HO后的一段时间内，若MME未收到UE的TAU Request，则也认为共享Native EPS S.C.。

后面执行NAS SMC等过程•UE有多个UMTS S.C.有一个Partial Native EPS S.C.–Idle：使用KSIsgsn来保护TAU， 后面同上面的HO–HO：同Idle过程•注意：UMTS S.C.仍可能是由EPS S.C.转换而来•多个UMTS S.C.到LTE后，仍使用KSIsgsn来标识它们，MME并保留这些UMTS S.C.并可以通过回传回UMTS67From E-UTRAN to UTRAN HO•NAS-Token = f(Kasme,0x17|UL NAS COUNT|0x0004)•CK’|IK’       = f(Kasme,0x1B|UL NAS COUNT|0x0004)•Kc               = f(CK|IK,0x32)UEMMESGSN计算出CK’|IK’, KSI, NAS DL Count+1并传递给SGSN,及可能的UTMS AVsRNCeNBHandover Required(S-2-T TC(interRATHandoverInfo )) Forward Relocation Request(IMSI,CK,IK,CKSN/KSI,UE S.Capability, S-2-T TC,EPS BCsRelocation Request(CK,IK, Permitted I.P.&Ciphering Algorithm list,RAB Setup Lists, S-2-T TC(interRATHandoverInfo )) Relocation Request Ack.( Selected I.P.&C. Alg, RAB Setup ListsT-2-S TC(handovertoUTRANCommand( Selected C. Alg)))Forward Relocation Response(Setup RAB Lists, T-2-S TC (handovertoUTRANCommand( Selected C. Alg)))将CK’|IK’，KSI将代替SGSN中所有的可能CK,IK,KSI。

Handover Command    (NAS S.P.fE, T-2-S TC(handovertoUTRANCommand( Selected C. Alg)))Mobility From EUTRA Command(NAS S.P.fE, (handovertoUTRANCommand ( Selected C. Alg))Handover to UTRAN CompleteRelocation CompleteForward Relocation Complete NotificationForward Relocation Complete AcknowledgeRelocation Detect通过Kasme及DL NAS Count+1计算出CK’,IK’，并将CK’|IK’，KSI将代替USIM中所有的CK,IK,KSI，计算更新USIM中的Kc，CKSNUE与目标RNC在物理层上同步上S.M.C.68From UTRAN to E-UTRAN HOK’asme= f(CK||IK,0x18 |NONCEmme|  0x0004),UESGSNMMEeNBRNCRelocation Required(S-2-T TC(HandoverPreparationInformation )) Forward Relocation Request(IMSI,CK,IK,CKSN/KSI,UE S.Capability, S-2-T TC,EPS BCsHandover Request(Kenb, UE S.Cap,NASSecurityParatoEUTRAN,E-RAB Setup Lists, S-2-T TC(HandoverPreparationInformation)) Forward Relocation Response(Setup E-RAB Lists, T-2-S TC TC(HO CMD(RRCConnectionReconfig (NAS S.P.tE))))产生NONCEmme，选择NAS S.Alg,计算出K’asme= (CK||IK,0x18| NONCEmme |0x0004, 再计算出Kenb,Knasenc,KnasintHandoverFromUTRANCommand-EUTRA(RRCConnectionReconfig (NAS S.P.tE))RRC Connection Reconfiguration CompleteHandover NotificationForward Relocation Complete NotificationForward Relocation Complete Acknowledge计算出K’asme= f(CK||IK,0x18 |NONCEmme|  0x0004), 然后，计算出Kenb，根据NAS S.Alg，计算出Knasenc, Knasint其中其中NONCEmme, NAS S.Alg是是NAS S.P.tE，因Kenb是计算出的，因此LTE的RRC消息不能是加密的。

但后面发出的RRC消息是加密的Handover Request Ack(T-2-S TC(HO CMD(RRCConnectionReconfig (NAS S.P.tE))))Relocation Command(T-2-S TC(HO CMD(RRCConnectionReconfig (NAS S.P.tE))))69NAS security parameters to E-UTRA•The purpose of the NAS security parameters to E-UTRA information element is to provide the UE with parameters that enable the UE to create a mapped EPS security context and take this context into use after inter-system handover to S1 mode.•K’asme=f(CK||IK,0x18|NONCEmme|0x0004)87654321NAS security parameters to E-UTRA IEIoctet 1NonceMME valueoctet 2octet 50spareType of ciphering algorithm0spareType of integrity protection algorithmoctet 60000TSCNAS key set identifieroctet 7spare70NAS security parameters from E-UTRA•This field contains the 4 least significant bits of the binary representation of the downlink NAS COUNT value applicable when this information element is sent. •The purpose of the NAS security parameters from E-UTRA information element is to provide the UE with information that enables the UE to create a mapped UMTS security context during the inter-system handover from S1 mode to Iu mode.87654321NAS security parameters to E-UTRA IEIoctet 10000DL NAS COUNT value(short)octet 2Spare71HO与Idle下的IRAT-TAU区别•HO TAU Request是用Mapped EPS S.C. I.P.–TAU过程中也可以通过S.M.C来激活一个Native S.C.，此时就是一个Re-key过程。

也可以继续使用Mapped S.C.–进入Idle后，处理同下面•Idle TAU Request是–没有I.P.（当UE没有Native Full S.C.时），•若TIN是P-TMSI，则没有提供Kasme及GUTI–MME必须执行AKA及S.M.C过程–是I.P.（当UE有Native Full S.C.时）•若TIN是P-TMSI，则需要提供Kasme及GUTI–若此时MME上有UE Context，MME可以进行I.P.的检验，通过，则自动激活了此Native Full S.C.为Current若不通过，或MME上没有UE Context，则MME必须执行AKA及NAS S.M.C.过程•若TIN是GUTI（ISR激活了），则无需提供KSI及P-TMSI–同上•Idle后，若没有TAU就直接执行其它的NAS过程（如S.R.等），则表明ISR激活了，且这些NAS过程使用Native Full S.C.进行I.P.72主要内容•EPS 安全综述安全综述•EPS AKA与与S.M.C过程过程•EPS MM程与程与HO过程中的安全过程中的安全•EPS KDF•EPS EEA1/2/3与与EIA/1/2/3算法算法73KDF and Input parameter construction •Kasme=f(CK||IK,0x10|SN-id|0x0003|SQN+AK|0x0006)•Kenb=f(Kasme,UL NAS COUNT|0x0004)•NH=f(Kasme,0x12|Kenb/NH|0x0020)•Kenb*=f(NH/Kenb,0x13|PCI|0x0002|EARFCN-DL|0x0002)•Krrc/up=f(Kenb,0x15|algorithm type(0x03~5)|0x0001|algorithm id(AES/SNOW)|0x0001)•Knas=f(Kasme,0x15|algorithm type(0x01~2)|0x0001|algorithm id(AES/SNOW)|0x0001)•(HO)CK’||IK’ = f(Kasme,0x1b|DL NAS COUNT|0x0004)•(IDLE)CK’||IK’ = f(Kasme,0x1B|UL NAS COUNT|0x0004)•NAS-Token = f(Kasme,0x17|UL NAS COUNT|0x0004)•(HO)K’asme=f(CK||IK,0x18|NONCEmme|0x0004)•(IDLE)K’asme=f(CK||IK,0x19|NONCEue|0x0004||NONCEmme|0x0004)•CK||IKsrvcc=f(Kasme,0x1a|NAS DL COUNT|0x0004)•Kc128||(128bit) = f(CK|IK,0x32)•Kc’64||(192bit)=f(CK|IK,?)•derived key = f()=HMAC-SHA-256 (Key, S),–S = FC || P0 || L0 || P1 || L1 || P2 || L2 || P3 || L3 ||... || Pn || Ln•FC is single octet used to distinguish between different instances of the algorithm,•P0 ... Pn are the n input parameter encodings, and•L0 ... Ln are the two-octet representations of the length of the corresponding input parameter encodings P0 ... Pn.74NAS Count•Time and Direction dependent 32-bit input COUNT which is constructed  as follows:•COUNT := 0x00 || NAS OVERFLOW || NAS SQN •Where–The leftmost 8 bits are padding bits including all zeros.–NAS OVERFLOW is a 16-bit value which is incremented each time the NAS SQN is incremented from the maximum value.–NAS SQN is the 8-bit sequence number carried within each NAS message. 75主要内容•EPS 安全综述安全综述•EPS AKA与与S.M.C过程过程•EPS MM程与程与HO过程中的安全过程中的安全•EPS KDF•EPS EEA1/2/3与与EIA/1/2/3算法算法763GPP Security Algorithms • Confidentiality and Integrity Algorithms 128-EEA3 & 128-EIA3 •3GPP Confidentiality and Integrity Algorithms UEA2 and UIA2 •3GPP A5/3 and GEA3 algorithms •GSM Milenage •128-EEA2 is based on 128-bit AES in CTR mode•AES(Advanced Encryption Standard: http://csrc.nist.gov/publications/fips/fips197/fips-197.pdf)•CTR(Recommendation for Block Cipher Modes of Operation - Methods and Techniques http://csrc.nist.gov/publications/nistpubs/800-38a/sp800-38a.pdf)•128-EIA2 is based on 128-bit AES in CMAC mode•CMAC(Recommendation for Block Cipher Modes of Operation: The CMAC Mode for Authentication: http://csrc.nist.gov/publications/nistpubs/800-38B/SP_800-38B.pdf)•Secure Hash Standard (SHS) (including SHA-256):http://csrc.nist.gov/publications/fips/fips180-3/fips180-3_final.pdf•HMAC:RFC 2104 HMAC: Keyed-Hashing for Message Authentication. http://www.ietf.org/rfc/rfc2104.txt77LTE Ciphering of data 78Derivation of MAC-I/NAS-MAC (or XMAC-I/XNAS-MAC) 79Thank You !80。