教育部補助「行動寬頻尖端技術跨校教學聯盟計畫-行動寬頻網路與應用-小細胞基站聯盟中心計畫」 Small Cell創新應用與服務專題 課程單元： LTE之安全需求、安全特性 與安全機制簡介 計畫主持人：許蒼嶺 授課教師：李宗南、簡銘伸、李名峰 教材編撰：李名峰 國立中山大學 資訊工程系

課程單元目標 了解LTE之安全架構、安全需求與安全特性 了解UE與EPC原件間之安全程序 了解UE與E-UTRAN原件間之安全程序 了解Evolved Packet System之Authentication and Key Agreement (EPS AKA) 備註： 本課程單元需要入門的密碼學知識 若無相關背景者，建議先參考附錄

課程單元大綱 LTE之安全架構概要 LTE之安全特性 UE與EPC原件間之安全程序 UE與E-UTRAN原件間之安全程序

課程單元大綱 LTE之安全架構概要 LTE之安全特性 UE與EPC原件之間的安全程序 UE與E-UTRAN原件之間的安全程序

LTE之安全架構概要 縮寫說明 SN: Serving Network HE: Home Environment AN: Access Network ME: Mobile Equipment USIM: Universal Subscriber Identity Module

LTE之安全架構說明 上頁的安全架構圖定義五種原件間連線之集合的安全特性 網路存取安全 Network access security (I) 網路域安全 Network domain security (II) 用戶域安全 User domain security (III) 應用域安全 Application domain security (IV) 安全的可視性及可配置性 Visibility and configurability of security (V)

LTE之安全架構說明 (Cont.) 網路存取安全 Network access security (I)： 此集合的安全特性提供使用者存取服務時的安全，特別是防護無線存取連線的攻擊 (attacks on the radio access link) 網路域安全Network domain security (II)： 此集合的安全特性讓節點間能安全地交換訊號資料與使用者資料 (包含AN與SN之間的使用者資料、AN內部的使用者資料) ，防護有線存取連線的攻擊(attacks on the wireline network) 用戶域安全User domain security (III)： 此集合的安全特性保障能安全地存取基地台

LTE之安全架構說明 (Cont.) 應用域安全 Application domain security (IV)： 此集合的安全特性保障用戶域及提供者域的應用程式能安全地交換訊息 安全的可視性及可配置性Visibility and configurability of security (V)： 此集合的安全特性可讓使用者知道哪些安全特性是否正在執行，也可讓使用者可知道所用的服務是否基於特定的安全特性

課程單元大綱 LTE之安全架構概要 LTE之安全特性 UE與EPC原件之間的安全程序 UE與E-UTRAN原件之間的安全程序

LTE之安全特性 使用者之網路存取安全 安全的可視性及可配置性 基地台的安全需求

使用者之網路存取安全 使用者身份與設備的機密性 身份認證 使用者資訊與訊號資料的機密性 (Confidentiality ) 使用者的MSIN (Mobile Subscription Identification Number )、IMEI (International Mobile Equipment Identity)、IMEISV (IMEI Software Version)必須被保護 身份認證 使用者身分認證 網路端身分認證 使用者資訊與訊號資料的機密性 (Confidentiality ) 使用加密運算與解密運算 使用者資訊與訊號資料的完證性 (Integrity ) 使用完整性演算法與訊息認證碼(Message Authentication Code；MAC)

EPS加密演算法 使用128位元的金鑰 (Null ciphering algorithm除外) 以4位元的識別碼去決定EPS加密演算法(EPS Encryption Algorithm；EEA) 識別碼 EPS加密演算法 說明 0000 EEA0 Null ciphering algorithm 0001 128-EEA1 SNOW 3G based algorithm 0010 128-EEA2 AES based algorithm 0011 128-EEA3 ZUC based algorithm

EPS完證性演算法 使用128位元的金鑰 (Null integrity protection algorithm除外) 以4位元的識別碼去決定EPS完整性演算法(EPS Integrity Algorithm；EEA) 識別碼 EPS完整性演算法 說明 0000 EIA0 Null integrity protection algorithm 0001 128-EIA1 SNOW 3G based algorithm 0010 128-EIA2 AES based algorithm 0011 128-EIA3 ZUC based algorithm

安全的可視性及可配置性 使用者能知道資料是否被加密保護，特別是非加密的傳輸、通話貝設置時必須被通知 在使用服務時，使用者可控制USIM (Universal Subscriber Identity Module)的認證

基地台的安全需求 基地台設置與系統配置需求 基地台的設置與配置必須是被認證且授權的 攻擊者無法透過區域或遠端存取去修改基地台的設定與其軟體的配置 基地台的金鑰管理需求 用來身分認證與處理安全服務、設定的金鑰，包含長期使用的Long term keys與短期使用的session keys必須被保護

基地台的安全需求 (Cont.) 基地台處理使用者平面資料(User plane data)的需求 基地台需對使用者平面的封包做加解密的機密性保護與資料完整性保護 基地台處理控制平面資料(Control plane data)的需求 基地台需對控制平面的封包做加解密的機密性保護與資料完整性保護 基地台安全環境的需求 基地台安全環境需支援機密或敏感資料的儲存與執行，如加解密用的密碼學金鑰之儲存、密碼學演算法的執行 只有經過認證且授權程序才能去對機密或敏感資料做存取與執行

課程單元大綱 LTE之安全架構概要 LTE之安全特性 UE與EPC原件之間的安全程序 UE與E-UTRAN原件之間的安全程序

UE與EPC原件之間的安全程序 Authentication and key agreement EPS Key hierarchy LTE保密性機制 LTE完整性機制

Authentication and key agreement 使用者與網路端在E-UTRAN間透過EPS身分認證與金鑰協議(EPS Authentication and key agreement；EPS AKA)達到安全需求 UE與HE共享一把共同的祕密金鑰K 使用者與網路端以共同的祕密金鑰K做身份的交互認證(Mutual authentication) 使用者與網路端共同協議出加密用的Cipher key (CK)與驗證完整性用的Integrity key (IK)

NAS authentication response (RES) AKA之流程概要(1/2) ME/USIM eNB MME HSS/AuC NAS attach request Authentication data request Authentication data response NAS authentication request (AUTN, RAND, KSIASME) NAS authentication response (RES)

AKA之流程概要(2/2) ME/USIM eNB MME HSS/AuC NAS Security Mode Command (confidentiality and integrity algorithms) NAS Security Mode Complete S1AP Initial Context Setup RRC Security Mode Command (confidentiality and integrity algorithms) RRC Security Mode Complete

Successful EPS AKA authentication ME/USIM MME User authentication request (RAND, AUTN, KSIASME ) User authentication response (RES)

Distribution of authentication data from HE to MME Authentication data request IMSI, SN identity, Network Type Authentication data response EPS-Authentication Vector (s)

Identity Response (IMSI) User identity query MME HE Identity Request Identity Response (IMSI)

Distribution of IMSI and authentication data within one serving network domain MMEn MMEo GUTIo || Complete TAU message IMSI || authentication data 縮寫說明 GUTI: Globally Unique Temporary Identity IMSI: International Mobile Subscriber Identity TAU: Tracking Area Update

Distribution of IMSI and authentication data within one serving network domain (Cont.) 此程序的目的在讓previously visited MME (MMEn)提供authentication data給同一個serving network domain 下的newly visited MME (MMEn) MMEn首先傳送ME/USIM的GUTIo與所收到的TAU message. MMEo由資料庫搜尋使用者的資訊，並回傳對應的IMSI與authentication data給MMEn MMEn即可使用authentication data後續與ME/USIM做身份認證與金鑰協定

EPS 金鑰階層

EPS 金鑰階層 (Cont.) EPC與E-UTRAN允許加密保護以及完整性保護之演算法去保護存取層(Access Stratum；AS)與非存取層(Non-Access Stratum ； NAS)資訊的保密性與完整性 目前加解密金鑰與完整驗證金鑰的長度為128位元；預期未來將支援256位元的金鑰 EPS的金鑰階層中共包含以下的金鑰： KeNB、KNASint 、KNASenc、KUpenc、KRRCint 、KRRCenc、KUPint

EPS金鑰的產生 (for network nodes) 縮寫說明 KDF: Key Derivation Function NH: Next Hop

EPS金鑰的產生 (for ME) 縮寫說明 KDF: Key Derivation Function NH: Next Hop

LTE保密性機制

LTE完整性機制

課程單元大綱 LTE之安全架構概要 LTE之安全特性 UE與EPC原件之間的安全程序 UE與E-UTRAN原件之間的安全程序

UE與E-UTRAN原件之間的安全程序 非存取層(NAS)安全模式命令程序 存取層(AS)安全模式命令程序 換手(Handover)之金鑰處理 週期性的區域驗證(Periodic local authentication)之訊號程序

非存取層安全模式命令程序 ME MME Start integrity protection NAS Security Mode Command (eKSI, UE security capabilities, Ciphering algorithm, Integrity algorithm, [IMEISV request,] [NONCEUE , NONCEMME, ] NAS-MAC) Start uplink ciphering Verify NAS SMC integrity. If successful, start ciphering/ deciphering and integrity protection and send NAS Security Mode Complete. NAS Security Mode Complete ([IMEISV,] NAS-MAC) Start downlink ciphering

非存取層安全模式命令程序 (Cont.) 非存取層安全模式命令程序包含MME與UE間往返的訊息 MME先傳送NAS security mode command給UE UE驗證MME所傳送的NAS security mode command 若能成功驗證MME的訊息之完整性後，回傳NAS security mode complete message 傳

非存取層安全模式命令程序 (Cont.) MME傳給UE之NAS security mode command的訊息內容包含以下資訊 識別金鑰KASME用的識別碼 eKSI 防止重送攻擊的兩個隨機亂數NONCEUE and NONCEMME IMEI軟體版本請求的資訊 (IMEISV request) 以上的訊息均需要以完整性金鑰(NAS integrity key)做完整性保護並產生訊息驗整碼NAS-MAC，其中NAS integrity key是由訊息中的eKSI和MME與UE共享的KASME所產生 傳

非存取層安全模式命令程序 (Cont.) UE回傳MME之NAS security mode complete的訊息內容包含以下資訊 IMEI軟體版本的資訊(IMEISV) 以上的IMEISV訊息需要以完整性金鑰(NAS integrity key)做完整性保護並產生訊息驗整碼NAS-MAC，其中NAS integrity key是由MME所送的MAS security mode complete的訊息中的eKSI和UE與MME所共享的KASME所產生 傳

AS Security Mode Complete (MAC-I) 存取層安全模式命令程序 ME eNB Start RRC integrity protection AS Security Mode Command (Integrity algorithm, Ciphering algorithm, MAC-I) Verify AS SMC integrity. If successful, start RRC integrity protection, RRC/UP downlink deciphering, and send AS Security Mode Complete. Start RRC/UP downlink ciphering AS Security Mode Complete (MAC-I) Start RRC/UP uplink ciphering Start RRC/UP uplink deciphering

存取層安全模式命令程序 (Cont.) 存取層安全模式命令程序包含eNB與UE間往返的訊息 MMEeNB先傳送AS security mode command給UE UE驗證eNB所傳送的AS security mode command 若能成功驗證eNB的訊息之完整性後，回傳AS security mode complete message 傳

存取層安全模式命令程序 (Cont.) eNB傳給UE之AS security mode command的訊息內容包含以下資訊 以上的訊息均需要以完整性金鑰(RRC integrity key)做完整性保護並產生訊息驗整碼MAC-I，其中RRC integrity key是由金鑰KASME所產生 傳

存取層安全模式命令程序 (Cont.) UE回傳eNB之AS security mode complete的訊息內容 訊息需要以完整性金鑰(RRC integrity key)做完整性保護並產生訊息驗整碼MAC-I，其中RRC integrity key是由金鑰KASME所產生 傳

換手之金鑰處理 縮寫說明 NH: Next Hop parameter NCC: NH Chaining Counter PCI: Physical Cell Identity

換手之金鑰處理 (Cont.) 當初始的AS security context需要在UE與eNB間建立，MME和UE就必須導出下一個Hop所需要的金鑰KeNB 與一個參數Next Hop parameter (NH) 金鑰KeNB 與參數NH由金鑰KASME導出，此外每個KeNB 與NH尚有一個與其關聯的NH Chaining Counter (NCC) 在最初，金鑰KeNB 由金鑰KASME直接導出，之後的Key Chaining則由現有的KeNB 、NH 與NCC推導 傳

Optionally release connection or report to MME or O&M server 週期性的區域驗證之訊號程序 ME eNB Counter Check Counter Check Response Optionally release connection or report to MME or O&M server

週期性的區域驗證之訊號程序 (Cont.) eNB可使用週期性的區域驗證之訊號程序(Signaling procedure for periodic local authentication)去週期性地做區域驗證 eNB與UE可經由此區號驗證程序週期性地去確認AS connection的上行與下行訊息

週期性的區域驗證之訊號程序 (Cont.) eNB首先送出Counter check request訊息，此訊息包括 PDCP COUNT values 當UE收到 Counter check request， UE比對eNB所傳送的PDCP COUNT values與其radio bearers的PDCP COUNT values，然後回傳回傳Counter Check Response 訊息 若eNB收到的counter check response訊息不含任何PDCP COUNT values，就結束此程序 若eNB收到的counter check response 包含一個或多個PDCP COUNT values時，eNB就會釋放連結或將不同PDCP COUNT values的資訊回報給serving MME或O&M伺服器。此回報可用來做流量分析以偵測是否有遭受到攻擊

參考資料 ETSI TS 133 102 V12.2.0 (2015-01). Digital cellular telecommunications system (Phase 2+); Universal Mobile Telecommunications System (UMTS); 3G security; Security architecture (3GPP TS 33.102 version 12.2.0 Release 12) ETSI TS 133.401 V13.1.0 (2016-01). Digital cellular telecommunications system (Phase 2+); Universal Mobile Telecommunications System (UMTS); LTE; 3GPP System Architecture Evolution (SAE); Security architecture (3GPP TS 33.401 version 13.1.0 Release 13)

附錄：3GPP之安全性標準參考 LTE Security Lawful Interception Key Derivation Function: Backhaul Security Relay Node Security Home eNodeB Security: 3GPP TS 33.401 3GPP TS 33.106 3GPP TS 33.220 3GPP TS 33.310 3GPP TS 33.816 3GPP TS 33.320 3GPP TS 33.402 3GPP TS 33.107 3GPP TS 33.108

附錄：基本的密碼學知識 加密與解密 加密與解密程序 完整性驗證 完整性驗證程序

加密與解密 (1/2) 密碼系統是由明文、加密演算法、金鑰、解密演算法及密文所組合而成 金鑰是用來和加密演算法產生特定密文的符號字串 基本上，金鑰是一組具有相當長度的數字或符號字串，其大小通常以位元為單位 金鑰常是演算法則內的一個變數，所以不同的金鑰會產生不一樣的密文

加密與解密 (2/2) 就密碼學而言，金鑰的長度越長，密文就越安全 當加密金鑰與解密金鑰為同一把時，此密碼系統為對稱式密碼系統 當加密金鑰與解密金鑰為不同把時，此密碼系統為非對稱式密碼系統

加密程序－明文加密成密文 加密金鑰 (Encryption Key / Ciphering Key ) 加密演算法 明文 密文

解密程序－密文解密成明文 解密金鑰 (Decryption Key / Deciphering Key) 解密演算法 密文 明文

完整性驗證 (1/2) 為了偵測所傳送及接收到的訊息是否遭到竄改，可實行完整性驗證 訊息傳送者和訊息接收者首先共享一把完整性驗證金鑰(Integrity key) 訊息傳送者使用使用一個公開的訊息驗證函數(Message authentication function)及其私密的完整性驗證金鑰將所要傳送的訊息處理成訊息驗證碼(Message Authentication Code；MAC) 訊息傳送者將訊息與訊息驗證碼傳給訊息接收者

完整性驗證 (2/2) 訊息接收者將所收到的訊息，以訊息驗證函數及其私密的完整性驗證金鑰產生出訊息驗證碼(Message Authentication Code；MAC) 訊息接收者比對自行產生的訊息驗證碼與所收到的訊息驗證碼是否一致 倘若比對一致，則所收到的訊息並未經過竄改

完整性驗證－訊息摘要產生程序 完整性驗證金鑰 (Integrity Key) 完整性 演算法 訊息 訊息摘要

完整性驗證－訊息摘要驗證程序 完整性驗證金鑰 (Integrity Key) 完整性 演算法 訊息 訊息摘要 所收到的 訊息摘要 比對是否一致 所收到的 訊息摘要