【文章內(nèi)容簡(jiǎn)介】 4 ZUC 算法研制中心提供的性能數(shù)據(jù) ..................................................................................................................94 ZUC IP 核的設(shè)計(jì)與實(shí)現(xiàn) ......................................................................................................................................95 CLP411: ZUC 后備（LOOK ASIDE） 密碼核 ..................................................................................................9741 概述本文檔對(duì) LTE 安全技術(shù)進(jìn)行的總結(jié)，描述了與安全相關(guān)的協(xié)議，重點(diǎn)包括：安全流程梳理。 參考文獻(xiàn)[1] 3GPP TS :3GPP System Architecture Evolution (SAE)。 Security architecture.[2] 3GPP Radio Resource Control (RRC)。 Protocol specification[3] 3GPP S1 application protocol (S1AP)[4] 3GPP X2 application protocol (X2AP)[5] 3GPP TS : Evolved Universal Terrestrial Radio Access (EUTRA)。 Packet Data Convergence Protocol (PDCP) Specification. 術(shù)語(yǔ)AES Advanced Encryption StandardCK Cipher KeyIK Integrity KeyEARFCNDL EUTRA Absolute Radio Frequency Channel NumberDown LinkEEA EPS Encryption AlgorithmEIA EPS Integrity AlgorithmeKSI Key Set Identifier in EUTRAN （EUTRAN 的密鑰組標(biāo)識(shí)）KDF Key Derivation Function（密鑰獲取功能）KSI Key Set IdentifierMACI Message Authentication Code for Integrity ( )NCC Next hop Chaining CounterNH Next HopSMC Security Mode CommandSQN Sequence NumberHFN Hyper Frame NumberLSM Limited Service Mode（受限服務(wù)模式）? COUNT：包括上行下行兩個(gè)變量。H F N P D C P S N? Chaining of KeNB: 從一個(gè) KeNB 生成另一個(gè) KeNB（如切換過程中，根據(jù)生成源小區(qū) KeNB 生成目標(biāo)小區(qū) KeNB）5? eKSI：eKSI 是 KASME 的一個(gè)指示，由 MME 進(jìn)行分配，作用是在 UE 和 MME 中指示一個(gè)通過 EPS AKA 過程產(chǎn)生的 Native KASME，可以進(jìn)行 KASME 的重新啟用。eKSI 為 4bit，最高位指示 eKSI 值是 KASME 還是 KSGSN，剩余的三位填寫 KSI 值。在從 UE 發(fā)送給 MME 的消息中，如果 eKSI 值為全 1，表示沒有可用的 eKSI。? Mapped security context: 跨系統(tǒng)移動(dòng)，由源系統(tǒng)的安全上下文，映射獲得的安全上下文。比如在 UTRAN 到 EUTRAN 的切換過程中，通過 UTRAN 的安全上下文獲取 EUTRAN 的安全上下文。? Refresh of KeNB: KASME 不變情況下的 KeNB 更新。通過小區(qū)內(nèi)切換過程，實(shí)現(xiàn)的 KeNB 參數(shù)變化。如在 PATH SWITCH 后目標(biāo) eNB 根據(jù) MME 提供的NH/NCC 對(duì)，發(fā)起小區(qū)內(nèi)切換，通知 UE 采用最新的 NCC 進(jìn)行 KeNB 計(jì)算，實(shí)現(xiàn) KeNB 參數(shù)的變化。PDCP COUNTs 越界時(shí)，需要對(duì) KeNB, KRRCenc, KRRCint, and KUPen 進(jìn)行 Key refresh。? Rekeying of KeNB: 通過新的 KASME 獲取新 KeNB。K eNB, KRRCenc, KRRCint, and KUPenc 可以進(jìn)行 Rekeying，由 MME 發(fā)起，通常在 NAS 安全交互后發(fā)生。? UE security capabilities: UE 支持的 EPS AS 和 NAS 的完整性保護(hù)和加密算法，以及 UE 支持的 UTRAN 和 GERAN 的加密算法和完整性保護(hù)算法。? UE EPS security capabilities: UE 支持的 EPS 系統(tǒng)的加密算法和完整性保護(hù)算法。? NAS COUNT：包括上下行兩個(gè)變量。UE 和 MME 分別保存。在 UE 側(cè) NAS COUNT 都保存在 USIM 中或者 UE 的非易失性存儲(chǔ)設(shè)備中。NAS COUNT = NAS overflow Counter（16 位） || NAS SN（8 位） 。NAS SN 是在 NAS 信令交互過程中，NAS 頭中包含的 Sequence Number IE。62 加密和完整性保護(hù)算法 完整性保護(hù)參數(shù)說(shuō)明：UE 與 eNB 之間的 RRC 完整性保護(hù)由 PDCP 提供，PDCP 以下各層不需要完整性保護(hù)。EIA 算法（完整性）的輸入?yún)?shù)為：（1） 一個(gè) 128bit 的密鑰 KRRCint；（2） 一個(gè) 5bit 的承載 id BEARER；（3） 一個(gè) 1bit 的傳輸方向 DIRECTION；（4） 密鑰流長(zhǎng)度 LENGTH；（5） 時(shí)間和方向的 32bit。 特例：切換過程中的 RRC 層也需要進(jìn)行 RRC 完整性校驗(yàn)碼的生成，用于生成 ShortMACI。ShortMACI 根據(jù) VarShortMACInput 作為 MESSAGE，根據(jù)原服務(wù)小區(qū)的 KRRCint 作為KEY， COUNT/BEARER/DIRECTION 的 bit 位全部為 1，計(jì)算獲得；而 VarShortMACInput 由目標(biāo)小區(qū)cellIdentity，原服務(wù)小區(qū)的 PCI 和 cRNTI 組成。COUNT 32bit 由HFN和 PDCP SN組成，共32bitBEARER 5bit 取值為“RB identity1特例：對(duì)于EIA1算法，輸入為32bit，高27bit填零，低5bit為BEARER 。DIRECTION 1bit 0—上行，1—下行MESSAGE RRC消息內(nèi)容，即PDCP SDU。LENGTH （1）對(duì)于EIA1和EIA3 ，采用流密碼加密方式，LENGTH取值為MESSAGE的bit數(shù)；（2）對(duì)于EIA2，采用塊密碼加密方式，LENGTH取值為MESSAGE的字節(jié)數(shù)。輸入KEY 128bit KRRCint算法 128bit algorithms EIA0――空算法；7生成KEYSTREAM BLOCKEIA1――基于3G網(wǎng)絡(luò)的標(biāo)準(zhǔn)算法 sonw3G；EIA2――增強(qiáng)性加密算法AES；EIA3――祖沖之算法ZUC；輸出 MACI/ XMACI 32bit 加密參數(shù)說(shuō)明：UE 與 eNB 之間的用戶面通過 PDCP 協(xié)議進(jìn)行加密。128bit EEA 算法（加密）的輸入 INPUT 參數(shù)為：（1） 一個(gè) 128bit 密鑰 KUPenc ；（2） 一個(gè) 5bit 承載標(biāo)識(shí) BEARER；（3） 1bit 傳輸方向 DIRECTION；（4） 密鑰流的長(zhǎng)度 LENGTH；（5） 時(shí)間以及方向。 COUNT 32bit 由HFN和 PDCP SN組成，共32bitBEARER 5bit 對(duì)于信令數(shù)據(jù)――“RB identity1對(duì)于業(yè)務(wù)數(shù)據(jù)――DRB identity1DIRECTION 1bit 0—上行，1—下行輸入LENGTH 16bit Keystream block長(zhǎng)度，在加密算法中，利用keystream block對(duì)未加密的數(shù)據(jù)的消息字段進(jìn)行操作。 （1）對(duì)于EIA1和EIA3 ，采用流密碼加密方式： LENGTH取值為Keystream block的bit 數(shù)； （2）對(duì)于EIA2，采用塊密碼加密方式： LENGTH取值為Keystream block的字節(jié)數(shù)。 對(duì)于信令數(shù)據(jù)――加密數(shù)據(jù)為PDCP DATA和MACI ，長(zhǎng)度8為PDCP DATA長(zhǎng)度加上MACI長(zhǎng)度；而PDCP DATA即為未壓縮的PDCP SDU。 對(duì)于業(yè)務(wù)數(shù)據(jù)――加密數(shù)據(jù)為PDCP DATA，長(zhǎng)度為PDCP DATA長(zhǎng)度；而 PDCP DATA可以為壓縮的PDCP SDU，也可以為未壓縮的PDCP SDU。KEY 128bit 對(duì)于信令數(shù)據(jù)――K RRCenc對(duì)于業(yè)務(wù)數(shù)據(jù)――K UPenc算法 128bit algorithms EEA0―― 空算法；EEA1―― 基于3G 網(wǎng)絡(luò)的標(biāo)準(zhǔn)算法 sonw3G；EEA2―― 增強(qiáng)性加密算法 AES；EEA3―― 祖沖之算法 ZUC；安全加密是針對(duì)如下三種類型的 PDU。（1）控制平面 SRB 數(shù)據(jù)的 PDCP Data PDU：首先對(duì)信令數(shù)據(jù)進(jìn)行完整性保護(hù)，然后對(duì)信令數(shù)據(jù)和認(rèn)證碼一起加密。O c t 1O c t 2O c t NO c t N 1O c t N 2O c t N 3. . .D a t aP D C P S NR R RM A C I 認(rèn)證碼M A C I ( c o n t . ) 認(rèn)證碼M A C I ( c o n t . ) 認(rèn)證碼M A C I ( c o n t . ) 認(rèn)證碼 完整性保護(hù)加密（2）使用 12bit SN 值的 PDCP Data PDU：此格式適用于攜帶映射到 RLC AM（應(yīng)答）或 RLC UM（非應(yīng)答）的 DRB 的數(shù)據(jù)的 PDCP Data PDU，對(duì)數(shù)據(jù)進(jìn)行加密。. . .P D C P S N ( c o n t . )D a t aD / C P D C P S NR R R O c t 1O c t 2O c t 3加密（3）使用 7bit SN 值的 PDCP Data PDU：此格式適用于攜帶映射到 RLC UM 的 DRB 的數(shù)據(jù)的 PDCP Data PDU，對(duì)數(shù)據(jù)進(jìn)行加密。9. . .D / C P D C P S N O c t 1O c t 2D a t a加密 加密和完整性保護(hù)的關(guān)系 完 整 性 驗(yàn) 證加 密PDC SDUMAC1計(jì) 算 解 密確 定 計(jì) 數(shù)PDC PDU編 號(hào)RRC 信令，完整性保護(hù)結(jié)果需要進(jìn)行加/解密：? 對(duì)于發(fā)送方：先進(jìn)行完整性保護(hù)（MACI 計(jì)算） ，后進(jìn)行加密。? 對(duì)于接收方：先進(jìn)行數(shù)據(jù)解密，再進(jìn)行完整性驗(yàn)證（MACI 校驗(yàn)） 。注：RRC 信令的處理方式正好與 NAS 信令的處理方式相反。NAS 信令先加密，后進(jìn)行完整性保護(hù)，完整性保護(hù)信息不進(jìn)行加密。3 算法 算法介紹 EEA0、EIA0 (NULL Algorithm)參見 36401 Annex B /。10 EEA0 算法 EEA0 算法的實(shí)現(xiàn)效果和應(yīng)用全 0 的 KEYSTREAM 進(jìn)行加密效果等同。 KEYSTREAM 的長(zhǎng)度和輸入?yún)?shù) LENGTH 相同。此外，和加密相關(guān)的所有操作都應(yīng)遵循本章所描述的加密算法。 EIA0 算法EIA0 算法的實(shí)現(xiàn)效果和生成全 0 的 MACI/NASMAC 和 XMACI/XNASMAC 的效果相同。當(dāng)應(yīng)用EIA0 算法時(shí)，無(wú)需進(jìn)行重保護(hù)。除非接收側(cè)不校驗(yàn)接收到的 MAC，否則，所有和完整性保護(hù)相關(guān)的操作都應(yīng)遵循本章描述的完整性保護(hù)算法。 EIA0 僅應(yīng)用在處于 LSM（受限服務(wù)模式）的 UE 進(jìn)行緊急呼叫時(shí) 。注 1：文中提到的重保護(hù)是指重新進(jìn)行完整性保護(hù)。注 2：EUTRAN 中，認(rèn)為使用 2G SIM 的 UE 處于 LSM 狀態(tài)。注 3：EEA0 和 EIA0 沒有提供任何安全。 128EEA1 EEA1 算法原理參見 。128EIA1 基于 SNOW 3G 算法，和 UEA2 的實(shí)現(xiàn)方式相同。128EIA1 采用流密碼加密方式進(jìn)行加密。利用 LFSR(線性反饋移位寄存器)和 FSM(有限狀態(tài)機(jī))進(jìn)行更新密鑰流。用新產(chǎn)生的密鑰流和明文按位進(jìn)行異或，從而得出密文。輸出的密鑰流以 32 位為一組，最終可形成 zz…zt 之類的密鑰流，其中 t = (n + 31) / 32，n 為明文的長(zhǎng)度 (以 bit 為單位)。解密過程與加密過程類似。采用相同的算法和密鑰，唯一不同的是對(duì)密文進(jìn)行解密。 輸入和輸出u32 f8(u8 *CKK